调用链 php,ThinkPHP5.1.x反序列化调用链复现分析

最新推荐文章于 2023-03-14 20:48:58 发布
最新推荐文章于 2023-03-14 20:48:58 发布
阅读量275 收藏
点赞数
文章标签: 调用链 php

1.    前言

最近研究了phpok5.3反序列化可直接getshell的漏洞,又见到土司里对ThinkPHP多个版本调用链的总结,于是便想着来复现分析一下。本文只是对反序列化调用链的分析,POC并不能直接被利用,需要基于ThinkPHP开发的代码有可用的反序列化入口。

2.   反序列化调用链分析

通常PHP反序列化的漏洞的入口为类的魔术方法,PHP是这样定义魔术方法的:PHP将所有以__(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以__ 为前缀。那么这里可以理解魔术方法是PHP为类保留的有独特功能的内置方法。而PHP反序列化最常见的入口方法为析构方法__destruct。

__destruct: PHP5引入了析构方法的概念,这类似于其它面向对象的语言,如C++,析构方法会在当某个对象的所有引用都被删除或者当对象被显式销毁时执行。实际上,当PHP脚本运行结束之前,所有的变量都会被销毁,因此析构方法在类被反序列化并实例化后必然会被调用。

此处也会以__destruct作为入口,文件位于/thinkphp/library/think/process/ pipes/Windows.php,__destruct调用了Windows类的removeFiles方法。

fe46e6a280c755cc7f76ab0027f0f8fc.png

$this->files为类属性,在反序列化时可控,因此$filename可控,163行进入file_exists方法,如果$filename为文件路径此处可导致任意文件删除,但反序列化通常是为了寻求RCE。

6aa54d813fef4f5ee9a3e17ff038f848.png

此处就要介绍另外一个魔术方法__toString:当一个对象被当作字符串对待的时候,会触发这个魔术方法。而当file_exists处理时,$filename被当做了字符串,因此如果$filename为类对象的话,此处可以触发该类的__toString方法。

760f14b873fd8ebdac4829580b237d36.png

跟进到thinkphp/library/think/model/concern/Conversion.php的__toString方法,这里调用了toJson方法。

43451ced3e8faa0f035677c0d0175358.png

接着调用了toArray方法,主要是将该对象转成JSON字符串,跟进到toArray方法的183-195行。此时$this->append为类属性可控,则$key、$name可控,我们需要寻找到类似$可控对象->方法($可控参数)的调用链,因此toArray方法需要到193行$relation->visible($name)。

322d73faf0089244eb8ff46418b86abb.png

为了满足这个条件,先跟进到getRelation方法,位于/thinkphp/library/think/ model/concern/RelationShip.php。可让$name不为空进入elseif,让$this->relation默认为空,而$name肯定不存在于$this->relation的键值中,因此getRelation方法返回为空。

c352b96828fbea1f5a42b962eb26ce21.png

接着会调用toArray方法191行的getAttr方法,方法位于/thinkphp/library/think/model/concern/Attribute.php的472行,476行调用了getData方法。

跟进getData方法,267行、271行条件根据上面的分析不能满足,因此只能进入269行分支,$this->data可控并且$name为其键值。

ae7d0dc0ccd77b59f9ce103bb13a59f7.png

综上分析,toArray方法193行的$relation可控为$this->data[$key],$name为$this->append[$key]。但认真看Conversion、Attribute类,发现定义为trait:trait是一种为类似PHP 的单继承语言而准备的代码复用机制。

dbe708223e2a94129fe3a053f1f8008d.png

因此我们需要找一个同时引入Conversion、Attribute类的方法,通过搜索发现了/thinkphp/library/think/Model.php类,但Model定义为abstract,抽象类无法被实例化。

3a58ae0c03625832db568098060b23cc.png

因此需要继续寻找一个继承Model类的类文件,这里搜索到了/thinkphp/ library/think/model/Pivot.php,因此可以实例化Pivot类完成下述调用链:

file_exists(new Pivot)->Model->Conversion、Attribute

->_toString->toJson->toArray->getAttr->$relation->visible($name)

cdb186bd2a9fa1764d9af7f479b6f063.png

满足了$可控对象->方法($可控参数)的调用链,我们只能调用某个类的visible方法,并不能够满足RCE条件;此时,需要再介绍一个魔术方法__call:

当调用一个不可访问的方法(如未定义,或者不可见时), __call()就会被调用。因此,需要寻找一个既包含__call方法而又不含有visible方法的类。经过搜索发现think/library/think/Request.php满足上述条件,$method参数为不存在的方法名即visible,而$this->hook为类属性可控,因此可以进入第一个if分支。

2786c64a47840bd8b50f0160ee37f14f.png

但330行调用了array_unshift会向$args数组开头插入Request类对象,导致call_user_function_array没办法顺利的执行任意命令,但此处可以调用任意方法,这里根据之前ThinkPHP命令执行的经验,filterValue方法存在call_user_func方法,有RCE的可能,但若是直接调用,$value参数传递的值为$this即Request对象,没办法控制调用方法的参数。

eb141255c45a23ebfbf3cc746dcff401.png

继续寻找哪些方法调用了filterValue,发现input方法调用了filterValue,但此时$data为$this依然不可控。

b58bbb27db0b7994ac9ca18066222f72.png

继续向上溯源发现param方法调用了input方法,953行此时$this->param可由$this->get即$_GET传递,因此可控,但$name仍然为对象不可控。

1e7dbda009ad0c068ca113e36ce86b17.png

继续向上追溯,我们发现了isAjax方法,$this->config为类属性完全可控。

301bb9ece57c6968cd38986738718828.png

因此可以采用如下的调用链条:

_call()->isAjax()->param()->input()->filterValue()

因为只是反序列化调用链条,因此复现时需要写一个反序列化入口到application/index/controller/Index.php中。

4645b10f32f907050bafa68a29518c15.png

$input参数值可用下面的POC产生

d9ea66ebfc234629b31dff4dedd590ad.png

复现如下:

8e77eb69bd5792fe014929473a06ead6.png

3.   参考链接

本文由百度安全原创,若需转载,请注明出处及原文链接

weixin_39627201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
反序列化调用——Commons Collections 迭代调用
王嘟嘟的博客
11-04 1064
0x00 前言 单独的写迭代连的调用,主要原因是因为很多Commons Collections都是以迭代为基础而进行进一步利用的。所以先把迭代连找出来。 顺便把Commons Collection的概述基础这些也做一个介绍。 0x01 迭代 网上大多的文章都是先介绍Transformer等一系列使用到的类,这里我们试着着来。先上迭代。迭代就是通过某种迭代的方式执行多个Transform方法来获取实例。 1. 迭代POC Transformer[] transformers = new Tran
反序列化调用汇总
王嘟嘟的博客
03-14 275
这里整合一下反序列化调用的文章。
【Java反序列化】CC1调用poc
m0_61572518的博客
04-24 2045
package demo3.cc1; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.In.
php反序列化pop一则
dengzhasong7076的博客
07-27 362
跟随wupco师傅学习 classes.php <?php class OutputFilter { protected $matchPattern; protected $replacement; function __construct($pattern, $repl) { $this->matchPattern = $pattern; $...
ThinkPHP5.1.x 反序列化
LYJ20010728的博客
08-23 835
ThinkPHP5.1.x 反序列化补充知识PHP反序列化原理在PHP反序列化的过程中会自动执行一些魔术方法反序列化的常见起点反序列化的常见中间跳板反序列化的常见终点Phar反序列化原理以及特征漏洞环境漏洞分析寻找反序列化的起始点寻找反序列化的中间跳板寻找反序列化代码执行点构造反序列化利用漏洞利用条件 补充知识 PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化php对象 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 调用条件 __call 调用
ThinkPHP 6.x反序列化POP(一)1
08-03
开启ThinkPHP6调试利用原创今天宽字节安全此处以下同tp 5.2后半部分利用POP分析复现首先寻找可利用的__destruct()在vendor/t
ThinkPHP 6.x反序列化POP(三)1
08-03
开启ThinkPHP6调试POP分析原创今天宽字节安全pop的起点与前面的利用方式相同,都是/vendor/league/flysystem-cached-
基于Thinkphp5.1.X的博客网站设计源码
最新发布
04-07
Thinkphp5.1.X博客网站源码:包含580个文件,其中254个PHP文件,用于实现网站的后端逻辑;97个GIF图像,用于美化界面;58个JavaScript文件,用于添加动态交互;44个CSS文件,用于控制网站样式;43个PNG图像,用于...
Mochazz#ThinkPHP-Vuln#ThinkPHP5.2.X反序列化利用1
07-25
环境搭建将 application/index/controller/Index.php 代码修改成如下:利用条件有一个内容完全可控的反序列化点,例如: uns
ThinkPHP3.2.3反序列化分析
蚁景网安学院
04-15 530
 前言  目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化子进行复现,如有纰漏,还望指正。  环境介绍 MAMP pro PhpStorm Xdebug  利用条件 具备反序列化入口  分析过程  首先在分析前,先新建一个控制器,写一个反序列化入口  在Application/Home/Controller/HelloController.class.php中新建以下内容: <?php namespac..
Thinkphp-v5.1.x反序列化漏洞复现分析
weixin_45678034的博客
01-14 2970
环境搭建 使用 composer下载项目 composer create-project topthink/think=5.1.37 v5.1.37 配置控制器 <?php namespace app\index\controller; class unserialize{ public function kb(){ if(isset($_POST['unserialize'])){ $a = $_POST['unserialize'];
thinkphp5.1.37 可以读写文件 利用phar反序列化
weixin_45805993的博客
11-29 879
安洵杯一道题…一开始根本没想到用phar…还是太菜了 tp版本5.1.37TLS 源码 <?php namespace app\index\controller; use think\Controller; class Index extends controller { public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
ThinkPHP v5.1.x POP 分析
蚁景网安学院
10-12 800
前段时间网上爆出 ThinkPHP 5.1.x 的 POP ,早就想分析一下,正好最近有空,就记录一下吧环境:MacOS 10.13MAMAP Prophp 7.0.33 + xdeb...
让我爱恨的ThinkPHP Relation
he91-com
07-16 413
还记得第一次用ThinkPHP的relation,做了一个关联查询,觉得特别好用。有那么一天尝试着用关联插入,怎么插,都插不进,我插,我擦! 后来在龙哥的指点下算是成功的实践了一次,后来怎么用都不顺,后来变远离了 relation,便觉得这是TP 本身的问题,却不知是自己没有找到问题的症结,还是编程届 的那句谚语说的好,你没有了解出现问题的真正原因,就不算解决了BUG。 最近公司...
Thinkphp5.1 反序列化漏洞
nigo134的博客
08-06 725
exp: public/ning.php <?php namespace think; abstract class Model{ protected $append = []; private $data = []; function __construct(){ $this->append = ["ethan"=>["calc.exe","calc"]]; $this->data = ["ethan"=>new
[ POP ] thinkphp5.1.x~5.2.x
Dannie01的博客
09-27 375
thinkphp 5.1.x~5.2.x反序列化思路学习 起点:/thinkphp/library/think/process/pipes/Windows.php的__destruct() __destruct()里面调用了两个函数,一个关闭连接close()方法,忽略,然后我们跟进removeFiles()函数。 这里使用了$this->files,而且这里的$files是可控的。所以存在一个任意文件删除的漏洞。 POC可以这样构造: namespace think\process\pipes;
thinkphp框架中“关联操作”的完整定义详解
weixin_30662849的博客
03-17 139
转自:http://www.phpthink.cn/html/221.html 在复杂的关联操作中,如果要给关联定义增加可选的属性,我们可以采用完整定义的方式。 完整定义的格式是: protected $_link = array( '关联表名1' => array( '该表的关联方式的属性1' => '定义', ...
thinkphp漏洞_漏洞分析thinkPHP反序列化:这就是黑客的世界吗
weixin_39715997的博客
11-21 342
前言作为一个Web菜鸡,我之前和师傅们参加了红帽杯,奈何只有0输出,当时只知道是thinkphp5.2的反序列化漏洞,但是感觉时间不够了,也就没有继续做下去。只有赛后来查漏补缺了,也借着tp5.2这个反序列化pop来学习下大佬们的构造思路,不得不说这个pop真的是很强了,在分析的过程中,妈妈一直问我为什么跪着玩电脑~红帽杯2019 Ticket_System思路在直接输入xml数据处存在xxe...
thinkphp5.1 隐藏api.php
06-07
ThinkPHP 5.1 中,可以通过修改 Apache 或 Nginx 配置文件,将 `api.php` 隐藏掉,实现 URL 地址中不再显示 `api.php` 的效果。 以 Apache 为例,在 Apache 的配置文件中添加如下代码: ``` RewriteEngine on ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值