php嵌套序列化输出tp5.0,ThinkPHP v5.0.x 反序列化利用链挖掘

最新推荐文章于 2023-04-12 23:58:48 发布
最新推荐文章于 2023-04-12 23:58:48 发布
阅读量204 收藏
点赞数
文章标签: php嵌套序列化输出tp5.0

196364

前言

前几天审计某cms基于ThinkPHP5.0.24开发,反序列化没有可以较好的利用链,这里分享下挖掘ThinkPHP5.0.24反序列化利用链过程.该POP实现任意文件内容写入,达到getshell的目的

环境搭建

Debian

apache2+mysql+ThinkPHP5.0.24+php5.6

文件:application/index/controller/Index.php

namespace appindexcontroller;

class Index

{

public function index($input='')

{

echo "Welcome thinkphp 5.0.24";

echo $input;

unserialize($input);

}

}

196364

简述

Thinkphp 5.0.x反序列化最后触发RCE,要调用的Request类__call方法.

但是由于这里self::$hook[$method]不可控,无法成功利用

196364

我的思路是在找其他的__call,其他魔术方法搜了一圈没有可以进一步利用.

文件:thinkphp/library/think/console/Output.php

最后选择Output类中的__call方法,这里调用block方法.后续可以当做跳板

196364

POP链分析

从头开始分析

反序列化起点:thinkphp/library/think/process/pipes/Windows.php removeFiles方法

196364

跟进removeFiles方法

跳板:file_exists方法能够触发__toString魔术方法

196364

跳板利用点:thinkphp/library/think/Model.php

Model抽象类的 __toString

196364

跟进toJson方法至toArray方法

如下图Model抽象类的toArray方法,存在三个地方可以执行__call

但是我们目的是调用Output类的__call且能够继续利用,调试后选择第三处当做调板

$item[$key] = $value ? $value->getAttr($attr) : null;

196364

分析下如何达到该行代码

$item[$key] = $value ? $value->getAttr($attr) : null;

这里直接看else分支

196364

溯源$values变量,比较关键是下面两行

$modelRelation = $this->$relation();

$value = $this->getRelationData($modelRelation);

$modelRelation值可以利用Model类中的getError方法

196364

跟进getRelationData方法,这里最后传入的$modelRelation需要Relation类型

最后返回值$values需要经过if语句判断

$this->parent && !$modelRelation->isSelfRelation() && get_class($modelRelation->getModel()) == get_class($this->parent)

全局搜索下,可以利用HasOne类

196364

最后$attr值,由$bindAttr = $modelRelation->getBindAttr();执行后的结果.

196364

跟进OneToOne抽象类getBindAttr方法,binAttr类变量可控.

196364

至此代码执行到$item[$key] = $value ? $value->getAttr($attr) : null;就能够执行Output类__call魔术方法

196364

跟进Output类block方法

196364

继续跟进writelin方法,最后会调用write方法

196364

这里$this->handle可控,全局搜索write方法,进一步利用

定位到:thinkphp/library/think/session/driver/Memcached.php

类: Memcached

196364

继续搜索可用set方法

定位到:thinkphp/library/think/cache/driver/File.php

类:File

最后可以直接执行file_put_contents方法写入shell

196364

$filename可控且可以利用伪协议绕过exit

196364

$data值比较棘手,这里有个坑,由于最后调用set方法中的参数来自先前调用的write方法

只能为true,且这里$expire只能为数值,这样文件内容就无法写shell

196364

继续执行,跟进下方的setTagItem方法

会再执行一次set方法,且这里文件内容$value通过$name赋值(文件名)

所以可以在文件名上做手脚

示例:php://filter/write=string.rot13/resource=./<?cuc cucvasb();?>

196364

POP链(图)

196364

EXP

马赛克

复现

写入文件

实战是需要找个可写目录

196364

读取文件

196364

结语

感谢@水泡泡师傅解答问题

整条POP分析下来挺有趣,希望师傅们喜欢.

Thinkphp 反序列化深入分析pop利用
god_Zeo的安全博客
12-18 1681
Thinkphp 反序列化深入分析欢迎使用Markdown编辑器铺垫知识 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 铺垫知识 1. PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化php对象。 2. 在PH...
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6623
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
thinkphp5.0.24反序列化
qq_62989306的博客
09-18 2130
此时我们需要寻找能写webshell的__call()方法,在这里选择的是think\console\Output类里的$method是getAttr,且$this->styles是可控的。只要在styles数组里加一个getAttr即可。所以可以顺利进入第一个if。array_unshift() 函数用于向数组插入新元素,新数组的值将被插入到数组的开头。里的参数都是可控的,所以往下走没有影响。call_user_func_array()是回调函数,可以将把一个数组参数作为回调函数的参数。
ThinkPHP 5.0.24反序列化分析
RestoreJustice的博客
04-12 1235
调试环境:phpstudy+phpstorm+xdebugphp版本:php7.3.4nts源码:Thinkphp5.0.24注意:源码下载地址:https://www.thinkphp.cn/donate/download/id/1279.html 三、构建利用点 控制器文件(Controller) ThinkPHP的控制器是一个类,接收用户的输入并调用模型和视图去完成用户的需求,控制器层由核心控制器和业务控制器组成,核心控制器由系统内部的App类完成,负责应用(包括模块、控制器和操作)的调度控制,包
ThinkPHP 5.0 低版本反序列化漏洞利用
weixin_46236101的博客
10-19 1184
前言 背景 日常渗透测试中,ThinkPHP低版本的站点虽然很少,但是总会有的,之前有大佬公开5.0.*的利用,是适合中高版本的ThinkPHP框架,由于一些代码的改动,导致在某些地方并不能兼容所有的版本。 比如: 在5.0.16版本以下,HasOne类的getRelation的触发点removeWhereField方法未被调用。 在5.0.11版本以下,model类得三目运算符处的出发点不存在。 在5.0.4版本以下,触发的位置又有所不同。 本文将对已知反序列化利用进行分析,并对比新老版本差异,构造
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
thinkphp5.0反序列化小记.pdf
最新发布
04-22
### ThinkPHP 5.0 反序列化分析与实战经验分享 #### 一、概述 在本篇文章中,我们将深入探讨ThinkPHP 5.0框架中的一个安全漏洞——反序列化攻击,并通过实际案例来理解其原理及利用方法。ThinkPHP是一款流行的...
TP5.0.xRCE&5.0.24反序列化分析1
08-03
【标题】:“TP5.0.x RCE & 5.0.24 反序列化分析1” 在本文中,我们将深入探讨ThinkPHP 5.0.x版本,特别是5.0.24版本中的反序列化漏洞及其分析。ThinkPHP是一个广泛使用的PHP框架,其在开发过程中的一些特性可能...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP1
08-03
ThinkPHP v3.2.X 反序列化漏洞与SQL注入及文件读取利用分析》 ThinkPHP是一款广泛使用的PHP框架,其3.2.*版本存在反序列化漏洞,允许攻击者通过精心构造的数据包触发特定行为,如SQL注入和文件读取。本文将深入...
ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5
02-24
ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5 欢迎关注PHP学习博客:http://blog.csdn.net/column/details/14209.html
ThinkPHP v5.0.24 完整版
10-22
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少
ThinkPHP5.0.24完整版
03-14
ThinkPHP5.0.24完整版
从红帽杯题目学习thinkphp 5.1反序列化利用
一个安全研究员
02-17 1461
师傅们真的tql
thinkphp5.0.24反序列化子分析
m0_62422842的博客
07-19 1894
thinkphp5.0.24框架反序列化的两种子思路分析
thinkphp5.0.24反序列化漏洞分析
m0_67392182的博客
09-12 1524
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
thinkphp5 注入 反序列化写文件 phar反序列化
yggcwhat
09-28 2397
thinkphp5框架 注入 反序列化写文件 phar反序列化
TP 5.0.24反序列化漏洞分析
goddemon
10-20 7338
很久没发过文章了,最近在研究审计条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞的分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop挖掘一直学的懵懵懂懂的 ctf的一些pop能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
ThinkPHP5.0.x 反序列化
LYJ20010728的博客
08-19 1323
ThinkPHP5.0.x 反序列化漏洞环境漏洞分析EXP漏洞复现 漏洞环境 漏洞测试环境:PHP5.6+ThinkPHP5.0.24 漏洞测试代码 application/index/controller/Index.php <?php namespace app\index\controller; class Index { public function index() { $Gyan = unserialize($_GET['d1no']); va
ThinkPHP v3.2.x SQL注入与文件读取反序列化POP解析
"ThinkPHP v3.2.X版本中的SQL注入与文件读取漏洞通过反序列化POP进行利用的详细分析" 在ThinkPHP v3.2.*版本中,存在SQL注入和文件读取的安全漏洞,主要是由于框架对对象反序列化过程中的不安全操作引起的。这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值