标签:__ 触发 v6.0 true 方法 key ThinkPHP 序列化 data
前言:
上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞。
这里总结一下tp6的反序列化漏洞的利用。
0x01环境搭建
现在tp新版本的官网不开源了,但是可以用composer构建环境,系统需先安装composer。然后执行命令:
composer create-project topthink/think=6.0.x-dev v6.0
cd v6.0
php think run
或者可以去github上下载,但是需要改动很多,也可以去csdn上下载人家配好了的源码。
tp6需要php7.1及以上的环境才能搭建成功。
搭建完成后访问ip加/public即可
0x02利用条件
需要在根目录下的 /app/controller的index.php里面存在unserialize()函数且为可控点,例如存在
unserialize($_GET['payload'])
0x03POP链分析
总的目的是跟踪寻找可以触发__toString()魔术方法的点
先从起点__destruct()或__wakeup方法开始,因为它们就是unserialize的触发点。
刚装了系统,还没下载phpstorm,先利用seay审计,然后全局搜索__destruct()方法,这里用了/vendor/topthink/think-orm/src下的Model.php,因为它里面含有save()方法可以被触发。
跟进去,当$this->lazySave == true时,$this->save()方法将被触发
$this->lazySave == true时,会触发$this->save()方法
跟进save()方法
发现对$this->exists属性进行判断,如果为true则调用updateData()方法,false则调用insertData()方法。
试着跟进一下updateData()方法,发现updateData方法可以继续利用
那么我们首先要构造参数使得updateData()被触发,需要将下面这个if过掉
跟进isEmpty()方法看一下,
保证isEmpty返回false,以及$this->trigger(‘BeforeWrite’)返回true即可绕过判断然后触发我们的updateData()方法。
构造$this->data为非空数组 构造$this->withEvent为false 构造$this->exists为true
继续跟进updateData()方法
需要绕过含有return的判断,第一个判断前面的save方法符合条件,第二个if需要$data非空
$data的属性值由方法getChangedData()控制,跟进它
如图两个变量初始值为[] 符合下面if的判断,结果返回1,即默认返回$data=1,确保这一步绕过之后我们就到了checkAllowFields()方法了
跟进checkAllowFields方法
发现了个字符串拼接
由于$this->field==null,$this->schema==null,因此默认满足
那么我们看上面的db()方法
跟进db()方法
发现满足判断条件的话,就存在$this->table . $this->suffix参数的拼接,这不就是那两个熟悉的拼接吗,可以触发__toString
满足connect函数的调用即可。
后面就是延续tp5反序列化的触发toString魔术方法了,就是原来vendor/topthink/think-orm/src/model/concern/Conversion.php的__toString开始的利用链
目前的逻辑链图:
也就是:
__destruct()——>save()——>updateData()——>checkAllowFields()——>db()——>$this->table . $this->suffix(字符串拼接)——>toString()
这一部分构造的参数为:
$this->exists = true; $this->$lazySave = true; $this->$withEvent = false;
寻找__toString触发点
全局搜索__toString(),找到vendor/topthink/think-orm/src/model/concern/Conversion.php
跟进toJson()方法
跟进toArray()方法
第三个foreach里面存在getAttr方法,他是个关键方法,我们需要触发他
触发条件:
$this->visible[$key]存在,即$this->visible存在键名为$key的键,而$key则来源于$data的键名,$data则来源于$this->data,也就是说$this->data和$this->visible要有相同的键名$key
构造参数,把$key做为参数传入getAttr方法
跟进getAttrr()方法
然后$key值就传入到了getData()方法,跟进getData方法
第一个if判断传入的值,$key值不为空,因此绕过,然后$key值传入到了getRealFieldName()方法,跟进getRealFieldName方法
当$this->strict为true时直接返回$name,即$key
回到getData方法,此时$fieldName = $key,进入判断语句:
返回$this->data[$fielName]也就是$this->data[$key],记为$value,再回到getAttr
也就是返回 $this->getValue($key, $value, null);
跟进getValue()方法
只要满足$this->withAttr[$key]存在且$this->withAttr[$key]不为数组就可以触发命令执行。
最终会把$this->withAttr[$key]作为函数名动态执行函数,而$value作为参数,就可以利用执行系统函数达到命令执行。
到这里呈现了一条完整的POP链。
后半部分__toString的逻辑链图
这一部分参数赋值:
$this->table = new think\model\Pivot(); $this->data = ["key"=>$command]; $this->visible = ["key"=>1]; $this->withAttr = ["key"=>$function]; $this->$strict = true;
因为这里的Model类为抽象abstract类,所以我们需要找一个继承于Model的类,比如Pivot类
0x04 利用exp
tp默认主页目录为/public/,这下面的index.php会定位到/app/controller/index.php文件,因此url中/public/将调用app/controller/index.php,那么我们要知道里面的GET变量,用来传参数。
那么我们定位到app/controller/index.php,找到里面的unserialize()函数里面的GET变量。我这里的环境里面没有unserialize()函数,我们手动加上并加上一个GET变量
网上我看到其他tp6框架的这个文件里面用的是$u这个变量来装unserialize()的值,并且用的GET变量是c,而且还对GET变量进行了base64_decode()编码,我这里为了对应安询杯比赛环境,没有加上base64编码。
首先利用phpggc工具生成exp,phpggc是一个反序列化payload生成工具,大佬们已经将tp6的exp上传到了phpggc,需要安装在linux上,然后执行以下命令生成exp的payload
./phpggc -u ThinkPHP/RCE2 'phpinfo();'
将生成的序列化字符串的payload传参给GET变量c,发送请求,然后将执行phpinfo()。
如果是真实的tp6框架,试试将payload进行base64编码后再发送请求。
标签:__,触发,v6.0,true,方法,key,ThinkPHP,序列化,data 来源: https://www.cnblogs.com/-chenxs/p/12020777.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。