thinkphp8反序列化分析

最新推荐文章于 2025-04-16 16:06:26 发布
最新推荐文章于 2025-04-16 16:06:26 发布
阅读量1k 收藏 22
点赞数 33
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79724395/article/details/141141680
版权

thinkphp8反序列化

前言

摆了一个暑假,正好看见周会有人分析了tp反序列化,想起这条链子的发现者就是我尊敬的nivia,这不得好好分析一下,而且师傅也是分析了这个,所以有了这个文章

链子一 __call触发

分析

相比于我们的6来说,原来我们都是通过save方法来作为入口的,但是8直接将整个类的destruct方法都被删除掉了

这里我们使用6的宁一个类

ResourceRegister#__destruct

我们的目的是触发call方法,所以可以寻找可能触发call的地方,并且参数可以控制

think\Validate#__call

public function __call($method, $args)
{
   
    if ('is' == strtolower(substr($method, 0, 2))) {
   
        $method = substr($method, 2);
    }

    array_push($args, lcfirst($method));

    return call_user_func_array([$this, 'is'], $args);
}

这里解释一下call_user_func_array([$this, ‘is’], $args);这个意思

  • [$this, 'is']:这部分表示回调是一个对象方法,$this 是当前对象的引用,'is' 是对象中名为 is 的方法。这相当于 $this->is()
  • $args:这是一个参数数组,它将被解包并传递给 is 方法。

我们看看is方法的重点部分

public function is($value, string $rule, array $data = []): bool
    {
   
        $call = function ($value, $rule) {
   
            if (isset($this->type[$rule])) {
   
                // 注册的验证规则
                $result = call_user_func_array($this->type[$rule], [$value]);

至于参数怎么控制的,分析完调用链再来研究

回到我们入口它调用了register方法

protected function register()
{
   
    $this->registered = true;
    
    $this->resource->parseGroupRule($this->resource->getRule());
}

可以看到其实这里就有触发

但是参数是不一样的,我们看到call是需要传入两个参数的

而getRule只是返回一个参数

public function getRule()
    {
   
        return $this->rule;
    }

继续往下来,进入parseGroupRule方法

image-20240812195052129

随便一看,是存在大量的字符串拼接的,是可以触发我们的Tostring的

因为传入参数都是tostring后该考虑的事,这里我们不需要过多关心参数对后面的影响,只需要能够触发tostring就好了

首先一眼看下去是

$rule = implode('/', $item) . '/' . $last;

这里控制last的值更好触发,但是last的来源是

$array = explode('.', $rule);
$last  = array_pop($array);
$item  = [];

注定了我们的last只能为一个字符串,因为是从我们的rule里面用点分割的,所以不能为一个实例化对象,我们使用

$item[] = $val . '/<' . ($option['var'][$val] ?? $val . '_id') . '>';

这个什么意思呢,问下gpt就懂了

  • foreach ($array as $val):这表示对于数组 $array 中的每个元素,将其值赋给变量 $val ,然后执行循环体中的代码。
  • $item[] = $val. '/<'. ($option['var'][$val]?? $val. '_id'). '>:在每次循环中,创建一个新的元素并添加到数组 $item 中。这个新元素是由当前的 $val 值,加上 /< ,再加上 $option['var'][$val] 的值(如果存在),如果 $option['var'][$val] 不存在,则使用 $val. '_id' ,最后加上 > 组成。

以下是一个示例:

<?php
最低0.47元/天 解锁文章
llll00lllll
关注
ThinkPHP反序列化漏洞
2303_77642110的博客
05-18 721
中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以最终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源。wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php。
thinkphp3.2.3反序列化利用链分析
qq_53856457的博客
05-21 1130
thinkphp3.2.3反序列化利用链分析 文章目录thinkphp3.2.3反序列化利用链分析前置知识:环境:分析过程 前置知识: PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化成php对象。 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 ---------------调用条件 __call 调用不可访问或不存在的方法时被调用 __callStatic 调用不可访问或不存在的静态方法时被调用 __clone 进行
【详细分析thinkphp反序列化漏洞
记录学习,一起进步
06-26 1700
【详细分析thinkphp反序列化漏洞
ThinkPHP8可能遇到问题一:save保存时出现验证器的信息
最新发布
码农一个
04-16 386
近期在写ThinkPHP8时遇到了一个问题,就是我在新增时没有限制id,但是他却响应我id不能为空,后面发现是ThinkPHP8加了校验器。
ThinkPHP v6.0.x 反序列化
Lethe's Blog
04-27 3589
0x01 环境搭建 使用composer进行安装: composer create-project topthink/think=6.0.x-dev TPv6.0 cd TPv6.0 php think run 定义入口文件app\controller\Index.php: <?php namespace app\controller; use app\BaseController; ...
ThinkPHP5.0.x 反序列化
LYJ20010728的博客
08-19 1439
ThinkPHP5.0.x 反序列化漏洞环境漏洞分析EXP漏洞复现 漏洞环境 漏洞测试环境:PHP5.6+ThinkPHP5.0.24 漏洞测试代码 application/index/controller/Index.php <?php namespace app\index\controller; class Index { public function index() { $Gyan = unserialize($_GET['d1no']); va
全网最详细thinkPHP反序列化漏洞详解
kunkun_xiaomeng的博客
08-31 2130
thinkphp漏洞详解
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ThinkPHP5.0.24反序列化POC
Armandhe的博客
04-06 1860
ThinkPHP5.0.24反序列化POC
thinkphp5.0反序列化链小记.pdf
04-22
### ThinkPHP 5.0 反序列化分析与实战经验分享 #### 一、概述 在本篇文章中,我们将深入探讨ThinkPHP 5.0框架中的一个安全漏洞——反序列化链攻击,并通过实际案例来理解其原理及利用方法。ThinkPHP是一款流行的...
ThinkPHP5.0.x 反序列化分析
ki10Moc的博客
07-29 932
垃圾文章不要看
ThinkPHP 5.0.24反序列化分析
RestoreJustice的博客
04-12 1479
调试环境:phpstudy+phpstorm+xdebugphp版本:php7.3.4nts源码:Thinkphp5.0.24注意:源码下载地址:https://www.thinkphp.cn/donate/download/id/1279.html 三、构建利用点 控制器文件(Controller) ThinkPHP的控制器是一个类,接收用户的输入并调用模型和视图去完成用户的需求,控制器层由核心控制器和业务控制器组成,核心控制器由系统内部的App类完成,负责应用(包括模块、控制器和操作)的调度控制,包
ThinkPHP8.x
orange20110531的博客
02-27 1689
默认情况下,程序出错会显示:页面出错!请稍候再试~这种情况,一般是应用部署好后,万一出错给用户看的;如果我们自己在开发阶段,需要开启调试模式,来提示具体的错误信息:在根目录有一个文件:.example.env,改成 .env ,也就是去掉点前面;然后在配置信息的第一行:APP_DEBUG = true 即可,false则不开启。
代码审计: ThinkPHP V6.0.12LTS反序列化漏洞复现
m0_68483928的博客
07-28 4137
ThinkPHP 是一个流行的 PHP 框架,其 6.0.12 LTS 版本中曾经存在一个反序列化漏洞。这类漏洞可能会被恶意攻击者利用来执行任意代码,危害系统安全。下面我将对这个漏洞进行复现,如果有需要源代码的读者请私信我,或者我后续放置在我的免费资源上面
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 941
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
ThinkPHP5 中的反序列化利用链详细分析
程序员阿飘 的博客
01-17 592
作为一个Web菜鸡,我之前和师傅们参加了红帽杯,奈何只有0输出,当时只知道是thinkphp5.2的反序列化漏洞,但是感觉时间不够了,也就没有继续做下去。只有赛后来查漏补缺了,也借着tp5.2这个反序列化pop链来学习下大佬们的构造思路,不得不说这个pop链真的是很强了,在分析的过程中,妈妈一直问我为什么跪着玩电脑~
46 thinkphp请求-变量
BowenXu11的博客
08-09 351
1.变量检测 可以使用has方法来检测一个变量参数是否设置,如下: Request::has('id','get'); Request::has('name','post'); 2.变量获取 获取param变量 // 获取当前请求的name变量 Request::param('name'); // 获取当前请求的所有变量(经过过滤) Request::param(); // 获取当前请求的所有变量(原始数据) Request::param(false); // 获取当前请求的所有变量(包含上传文件) Re
ThinkPHP8完全教程(附案例源码和sql脚本)
学亮编程手记
07-12 4361
phpEnv:官方网站:https://www.phpenv.cn/ (专业优雅强大的PHP集成环境);下载最新版本,自动安装后(默认C盘,可选),界面如下:简单配置:应用软件->设置->开启CDN加速(方便我们后续安装各种软件);安装 PHP8.2 和 MySQL8 ,选择 Apache (个人向,教学方便);然后点击 启动服务 ,允许各种允许访问即可;在浏览器输入:localhost,即可访问PHP探针。创建站点:点击 主页 下 网站,添加一个虚拟网站,以便后续学习测试;可以选择自定义的目录,我教学方便
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值