thinkphp5.0.24反序列化漏洞分析

最新推荐文章于 2024-06-16 19:36:15 发布
最新推荐文章于 2024-06-16 19:36:15 发布
阅读量1.4k 收藏
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: 安全 php web安全 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392182/article/details/126812221
版权
本文深入分析了ThinkPHP5.0.24框架中的反序列化漏洞,从反序列化起点开始,详细探讨了toArray、getRelationData、__call等关键方法,以及如何构造payload实现文件写入。通过对相关类和方法的分析,揭示了漏洞形成的原因及可能的利用方式,提供了解决此问题的思路。
摘要由CSDN通过智能技术生成

thinkphp5.0.24反序列化漏洞分析

文章目录

thinkphp5框架:

image-20220615000257518

thinkphp5的入口文件在publicindex.php,访问

http://192.168.64.105/thinkphp_5.0.24/public/index.php

image-20220615000539160

具体分析

反序列化起点

写一个反序列化入口点

image-20220615001131637

全局搜索__destruct()函数

image-20220615001115342

hinkphp_5.0.24 hinkphplibrary hinkprocesspipesWindows.php中的__destruct()函数,调用了removeFiles()

image-20220615001339350

跟进removeFiles(),第163行的file_exists可以触发__toString方法

image-20220615001418986

全局搜索__toString方法

thinkphplibrary hinkModel.php的第2265行,发现其调用了toJson方法

image-20220616230519422

跟进toJson,发现其调用了toArray()方法(在Model.php中)

image-20220616230630861

toArray

跟进toArray,发现其有三处可以调用__call方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发__call魔术方法)

__call(),在对象中调用一个不可访问方法时调用。

image-20220616231036322

着重看第三处,也就是第912行,这个需要我们控制$value变量

这个 v a l u e 变量是根据 ‘ value变量是根据 ` value变量是根据value = t h i s − > g e t R e l a t i o n D a t a ( this->getRelationData( this>getRelationData(modelRelation);`而来的

getRelationData分析

跟进getRelationData方法,注意参数$modelRelation需要是Relation类型的,该方法也是thinkphplibrary hinkModel.php中定义的

最低0.47元/天 解锁文章
bp粉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ThinkPHP 漏洞利用工具
05-18 3520
在Github上搜寻好用的安全工具,来充实武器库,实属一大乐趣所在。当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。01、TPscan一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。github项目地址:https://github.com...
TP 5.0.24反序列化漏洞分析
goddemon
10-20 6635
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
tp5漏洞利用工具.zip
01-03
Thinkphp5代码执行漏洞利用工具 (一共两个 包含利用原理)只要检测到存在Thinkphp5漏洞都能直接getshell(没狗的情况下)
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
weixin_43822401的博客
06-16 493
Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析漏洞的原理、利用方法,并提供相应的防护措施。
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-30 1万+
大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。 0. 大致流程 经过入口文件进入run函数 首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取?s=captcha的调度信息并返回给$dispatch 再到139行进入exec函数并将$dispatch作为参数带入 跟进后根据$dispatch
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
ThinkPHP6.0.1_反序列化漏洞分析
11-29 569
ThinkPHP6.0.1_反序列化漏洞分析 ThinkPHP6.0.0-ThinkPHP6.0.1 漏洞代码<?php namespace app\controller; use app\BaseController; class Index extends BaseController{ public function index(){ $data = $_POST['data']; unserialize(base64_decode($data));
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ThinkPHP 5.0.24 核心版
11-05
2. 企业级应用:在大型企业项目中,ThinkPHP 5.0.24的模块化设计、强大的权限管理以及优秀的性能优化能力,使其成为理想的后台开发框架。 3. API开发:通过灵活的路由和数据操作API,ThinkPHP 5.0.24可以轻松构建...
记一次tp5.0.24 getshell1
08-03
记一次tp5.0.24 getshell1
ThinkPHP3.2.3反序列化链子分析.doc
07-08
ThinkPHP3.2.3反序列化链子分析》 这篇文章主要探讨了ThinkPHP3.2.3框架中的一个安全问题——反序列化漏洞。由于该版本已不再维护,本文旨在重现和理解这个特定版本中的反序列化链子,以便于安全研究和教育。 反...
ThinkPHP V6.0.12LTS反序列化漏洞复现源码
最新发布
07-29
ThinkPHP 是一个流行的 PHP 框架,其 6.0.12 LTS 版本中曾经存在一个反序列化漏洞。这类漏洞可能会被恶意攻击者利用来执行任意代码,危害系统安全
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7283
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
Thinkphp 5.0.24反序列化漏洞导致RCE分析
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
[代码审计]ThinkPHP 5.0.x 的代码执行漏洞
姜小孩的博客
06-14 672
目录TP5中的rce都是利用了input方法如何利用此方法如何引导到这来POC:ThinkPHP 5.0-5.0.24通过URL路由分析,我们知道Thinkphp可由外界直接控制模块名、类名和其中的方法名以及参数/参数值,那么我们是不是可以将程序运行的方向引导至这里来。要调用类肯定需要先将类实例化,类的实例化首先需要获取到模块、类名,然后解析模块和类名去组成命名空间,再根据命名空间的特性去自动加载类,然后才会实例化类和调用类中的方法。我们先对比之前正常的URL试着构建下POC。 我们可以找到入口调
thinkphp漏洞利用工具-ThinkphpGUI(二)
siu~
08-17 1130
thinkphp漏洞利用工具
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反序列化数据。攻击者可以构造恶意的序列化数据,其中包含可执行的代码。 2. 攻击者将恶意序列化数据发送给应用程序,应用程序在反序列化时会调用unserialize()函数。 3. unserialize()函数会将序列化数据还原为PHP对象。在这个过程中,如果恶意序列化数据中包含可执行的代码,那么这些代码就会被执行。 4. 攻击者可以通过构造恶意的序列化数据来执行任意代码,例如执行系统命令、读取敏感文件等。 为了防止这种漏洞的发生,开发者应该及时更新ThinkPHP6框架版本,以修复已知的安全漏洞。同时,也应该对用户输入进行严格的验证和过滤,避免恶意输入导致的安全问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值