Thinkphp 5.1.41 getshell

最新推荐文章于 2024-09-09 13:41:22 发布

雷Ray

最新推荐文章于 2024-09-09 13:41:22 发布

阅读量2.4k

点赞数

文章标签：数学建模 c++ java

本文链接：https://blog.csdn.net/qq_41619801/article/details/131240057

版权

本文介绍了ThinkPHP 5.1.37至5.1.41版本中存在的一处getshell漏洞，通过复现过程展示了如何利用该漏洞。在Windows.php的析构函数中，利用file_exists触发任意类的__toString()方法。接着在Conversion.php的toJson方法中，通过可控的append参数和getAttr方法，当$relation的visible不存在时，触发__call，最终导致远程代码执行。

摘要由CSDN通过智能技术生成

首先需要实现反序列化，找到传参数的位置。

影响thinkphp 5.1.37——5.1.41

测试可以自己实现一个函数


<?php
namespace app\index\controller;

class Index{
    public function index(){
        @unserialize($_GET['hack']);
        return 'thinkPHP5';
    }
}

为了实现反序列化自动执行的魔法函数，要找到一个析构函数，thinkphp\library\think\process\pipes\Windows.php中有一个

public function __destruct()
{
    $this->close();
    $this->removeFiles(); //跟进
}

继续跟进removeFiles()

private function removeFiles()
{
    foreach ($this->files as $filename) {
        if (file_exists($filename)) {	//跟进
            @unlink($filename);
        }
    }
    $this->files = [];
}

file_exists会将$filename当作字符串进行处理，触发任意类的__toString()

这时候需要找到一个__toString函数能继续向下执行的类，全局搜索

找到thinkphp\library\think\model\concern\Conversion.php 第242行可以继续执行

public function __toString()
{
    return $this->toJson(); //跟进
}

这里会执行toJson方法，继续跟进toArray

public function toJson($options = JSON_UNESCAPED_UNICODE)
{
    return json_encode($this->toArray(), $options); //跟进toArray()
}

public function toArray()	//131行
{
    ...
    if (!empty($this->append)) {	//184行
    foreach ($this->append as $key => $name) {
        if (is_array($name)) {
            // 追加关联对象属性
            $relation = $this->