关于TP3.2.3的反序列化学习

已于 2022-08-06 16:53:09 修改
阅读量997 收藏
点赞数
分类专栏: 反序列化 文章标签: 学习 网络安全
于 2022-08-06 16:50:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43463830/article/details/126192139
版权

今天第一次学习TP的反序列化,参考文章:ThinkPHP3.2.3反序列化链子分析

步骤和参考文章一样,这里增加一些自己的思考。

首先是建立反序列化子链的入口

 这里通过base64传输并解码,然后进行反序列化,一般反序列化的调用是通过类销毁时调用的析构函数,所以全局搜索__destruct。

像这种虽然有可控参数 ,但是第一参数很少,第二没有什么实际的作用,所以应该找参数比较多的。

这种我们可以将类赋值给$this->img,并且调用对应类的destroy()方法 。因此需要

找到合适的destroy()方法,接下来就是寻找destroy.。

( 这里关于原文中参数可控不可控我并没有看太懂,以我的理解只能以为 $this->sessionName可控,sessID并不控,如果有大神可以帮忙解释一下。)然后Memcache中的$this->handle可控,所以接下来就寻找可以操作的delete方法。

 这个方法,$option貌似不可控,但可以看到在下边的if判断中只判断其为空的情况,所以不传入值,也会进入if判断,而其中的$this->data,$this->pk都是可控的,所以还会调用delete本身。于是可以看下边的代码。

在519行,该方法调用了$this->db的delete方法,其中$this->db可控,之前的代码中只有507行的_parseOptions对option做了处理,但是也并没有很好的过滤,所以我们进入底层delete方法中实际执行的代码看一下是否存在过滤处理,并且如何执行sql的。

 这里通过parseTable进行处理,但是没有过滤,所以可以使用。

总结:反序列化链子首先要明确我们要执行的操作,然后通过查找魔术方法,一步步查找合适的执行方法(最好可控变量比较多的),然后进行调用 。

weixin_43463830
关注
专栏目录
基于深度学习的入侵检测系统设计与实现
AI天才研究院
08-06 1698
基于深度学习的入侵检测系统在提高检测精度和效率方面展现出了巨大的潜力,然而,它仍然面临着一些挑战,例如数据标准化、模型解释性、攻击的多样性等。未来,我们需要在这些方面进行更深入的研究,并开发出更强大的入侵检测系统。
遗传算法与深度学习:优化神经网络结构
最新发布
AI天才研究院
05-23 1535
关键词: 遗传算法,深度学习,神经网络,结构优化,超参数调整深度学习近年来取得了令人瞩目的成就,其在图像识别、自然语言处理、语音识别等领域展现出巨大的应用潜力。然而,深度学习模型的性能很大程度上取决于其结构和超参数的设置。手动设计神经网络结构需要大量的专业知识和经验,并且效率低下。为了解决这个问题,人们开始探索使用自动化方法来优化神经网络结构,而遗传算法作为一种经典的进化算法,为解决这一问题提供了新的思路。遗传算法(Genetic Algorithm,GA)是一种模拟自然选择和遗传机制的优化算法。它将问题的
thinkphp3.2.3反序列化利用链分析
qq_53856457的博客
05-21 1046
thinkphp3.2.3反序列化利用链分析 文章目录thinkphp3.2.3反序列化利用链分析前置知识:环境:分析过程 前置知识: PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化成php对象。 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 ---------------调用条件 __call 调用不可访问或不存在的方法时被调用 __callStatic 调用不可访问或不存在的静态方法时被调用 __clone 进行
ThinkPHP3.2.3 反序列化漏洞复现
D.MIND 的博客
06-08 1370
ThinkPHP/Library/Think/Image/Driver/Imagick.class.php: __destruct() public function __destruct() { empty($this->img) || $this->img->destroy(); } ThinkPHP/Library/Think/Session/Driver/Memcache.class.php destroy() public function destroy($sessI
[代码审计][ThinkPHP]Thinkphp3.2.3反序列化利用链分析
Y4tacker的博客
04-19 1046
文章目录Thinkphp3.2.3反序列化利用链分析分析利用链 菜鸡在做CTF的时候想深入分析一下,也就产生了这篇文章 Thinkphp3.2.3反序列化利用链分析 分析 首先我们从__destruct方法入手 其他的都是啥如ftp_close之类的没法有效利用,但是在ThinkPHP/Library/Think/Image/Driver/Imagick.class.php找到 public function __destruct() { empty($this->img) || $t
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1481
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
ThinkPHP3.2.3反序列化链子分析
蚁景网安学院
04-15 560
 前言  目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化链子进行复现,如有纰漏,还望指正。  环境介绍 MAMP pro PhpStorm Xdebug  利用条件 具备反序列化入口  分析过程  首先在分析前,先新建一个控制器,写一个反序列化入口  在Application/Home/Controller/HelloController.class.php中新建以下内容: <?php namespac..
ThinkPHP3.2.3框架Memcache缓存使用方法实例总结
10-17
在使用过程中,需要注意Memcached服务器的地址和端口配置是否正确,以及数据的序列化问题。 方法二:直接调用集成好的Memcache缓存驱动 ThinkPHP框架已经集成了Memcache缓存驱动,因此开发者可以直接使用框架提供的...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 555
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
ThinkPHP 3.2.3后台模版
06-03
漂亮的后台模版,基于ThinkPHP3.2.3,集成环境,菜单需要自己设计。
Thinkphp3.2.3反序列化漏洞复现分析
cosmoslin的博客
11-13 984
环境搭建 Phpstudy: OS: Windows PHP: 5.6.9 ThinkPHP: 3.2.3 控制器写入: /Application/Home/Controller/IndexController.class.php public function index(){ unserialize(base64_decode($_GET[1]));//加上这一句 } pop链分析 先从__destruct方法入手,全局搜索 路径:ThinkPHP/Library/Think/Image.
TP 5.0.24反序列化漏洞分析
goddemon
10-20 7158
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞的分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
py 读取sql文件_ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链
weixin_34297863的博客
01-26 315
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链测试环境OS:MAC OSPHP:5.4.45ThinkPHP:3.2.3环境搭建直接在Web目录下Composer一把梭。composer create-project topthink/thinkphp=3.2.3 tp3然后访问首页框架会自动生成一个默认控制器,在默认控制器下添加一个测试用的Act...
学习笔记-TP5反序列化利用
人饭子的博客
11-09 584
TP5反序列化利用链 本文以第二人称视角重点谈谈给你了反序列化的利用链你该怎么写exp。 文章很长,当故事看即可。 漏洞版本为 ThinkPHP 5.1.X 下图是Mochazz 大佬画的非常优雅的一张调用链图 10 如果说之前了解过PHP反序列(重点知识)的基础知识(入门知识),那么一眼就能明白这条链的起点-跳板-终点是什么。 以析构函数为起点开始调用;以__toString方法为跳板寻...
tp3.2.3 架构模块
O_o_________的博客
05-08 783
一.url模式        ThinkPHP支持的URL模式有四种:普通模式、PATHINFO、REWRITE和兼容模式,可以设置URL_MODEL参数改变URL模式。        1.普通模式:普通模式也就是传统的GET传参方式来指定当前访问的模块和操作,例如: http://localhost/?m=home&amp;c=user&amp;a=login&amp;var=valuem参数表...
用过就是熟悉 tp链子反序列化
2301_79724395的博客
04-05 448
发现会读取hint.php的内容,然后把内容写入文件,但是文件名不可以控制,这个马上可以爆,我们肯定第一步是要读取这个文件吧。我先在本地获得一个时间戳,然后我用python发包,不断去访问这个文件,然后时间戳不断+1,最后访问到我们的文件。我们跟Loginsubmit这个方法发现根本没有,正和我们的意,完美,完美就看看怎么调用get方法。慢慢看呗,最好是调用了就能触发tostring的,你别说,真有,我们看到windows的这里。也就是我们的files,你别说,真找到了,然后就闭环了,就可以构造poc了。
TP3.2.3从入门到放弃-TP框架的使用
博客园: https://www.cnblogs.com/fger/
05-07 1万+
一、Thinkphp框架的使用-引用框架 注意:框架的公共入口文件ThinkPHP.php是不能直接执行的,该文件只能在项目入口文件中调用那个才能正常运行。 1、我们新手要做的就是新建一个写一个php代码(直接把下面拷贝进入就行) <?php define('APP_PATH','./Application/'); require '../Th...
tp3.2.3 配置模块
O_o_________的博客
05-08 1326
1.配置加载顺序惯例配置-&gt;应用配置-&gt;模式配置-&gt;调试配置-&gt;状态配置-&gt;模块配置-&gt;扩展配置-&gt;动态配置2.    可以修改第二个参数来 更换不同的配置文件    define('APP_STATUS','office');(位于Application/Common/Conf/office.php)    define('APP_STATUS','ho...
ThinkPHP3.2.3 反序列化链分析与漏洞挖掘
总结起来,ThinkPHP3.2.3反序列化链分析涉及到了魔术方法的使用、参数验证以及不同PHP版本的行为差异。理解这些细节有助于开发者识别潜在的安全风险,并采取相应的预防措施。尽管文章没有深入到修复或防御策略,但...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值