ThinkPHP 反序列化漏洞分析

最新推荐文章于 2025-10-16 16:21:48 发布
最新推荐文章于 2025-10-16 16:21:48 发布
阅读量400 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IiwEngine/article/details/132942569
本文深入分析了 ThinkPHP 框架中的反序列化漏洞,揭示了其安全风险。通过构造恶意序列化数据,攻击者可执行任意代码。防范措施包括更新框架至最新版本、严格输入验证、使用安全序列化函数和日志监控。

近年来,网络安全问题备受关注,其中一个重要的方面是应用程序的漏洞。本文将详细分析 ThinkPHP 框架中的反序列化漏洞,并提供相应的源代码示例。

  1. 漏洞概述
    反序列化漏洞是指攻击者能够在应用程序中执行恶意序列化数据的漏洞。当应用程序接受并反序列化未经充分验证的数据时,攻击者可以通过构造特定的序列化数据来执行任意代码,从而导致应用程序受到攻击。

  2. ThinkPHP 反序列化漏洞
    ThinkPHP 是一款流行的 PHP 开发框架,拥有广泛的用户群体。在早期版本的 ThinkPHP 中存在一个反序列化漏洞,该漏洞允许攻击者在应用程序中执行任意代码。

漏洞的根本原因在于 ThinkPHP 在处理反序列化数据时未进行充分的验证和过滤。攻击者可以通过构造恶意的序列化数据来触发漏洞。以下是一个示例代码:

<?php
class Example
{
   
   
    public function
了解本专栏 订阅专栏 解锁全文
漏洞复现】CVE-2024-44902 Thinkphp反序列化漏洞
渗透之路,攻防之间皆学问
09-23 5765
Thinkphp v6.1.3至v8.0.4版本中存在反序列化漏洞,攻击者可利用此漏洞执行任意代码。
ThinkPHP反序列化漏洞
2303_77642110的博客
05-18 801
中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以最终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源。wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php。
ThinkPHP v6.0.8 CacheStore 反序列化漏洞
errorr0
08-03 3229
thinkphp6 漏洞
Thinkphp6.0 反序列化漏洞
feng的博客
03-12 2335
准备 创建工程: composer create-project topthink/think thinkphp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1", "topthink/think-orm": "^2.0" }, composer update index控制器: <?php namespace app\controller;
ThinkPHP安全漏洞全曝光(90%开发者忽略的5个致命问题)
最新发布
SimCompile的博客
10-16 388
深入解析php thinkphp框架常见安全漏洞,揭示90%开发者忽略的5大隐患。涵盖SQL注入、RCE防护、路由过滤等实战解决方案,提升项目安全性。适用于中大型PHP应用开发,值得收藏。
tp6.0.8反序列化漏洞的一些看法
无问社区的博客
09-13 1841
更多漏洞分析的内容,可前往无问社区查看。
Thinkphp最新版本漏洞分析
kali_Ma的博客
02-27 5133
环境 Thinkphp6.0.12LTS(目前最新版本); PHP7.3.4。 安装 composer create-project topthink/think tp6 测试代码 漏洞分析 漏洞起点不是__desturct就是__wakeup全局搜索下,起点在vendor\topthink\think-orm\src\Model.php 只要把this->lazySave设为True,就会调用了save方法。 【一>所有资源获取<一】 1、网络安全学习路线 2、电子书籍(白帽子
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6网络安全开发工程师面试题
2401_83947105的博客
04-14 1587
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6
gan_zi_ge的博客
09-08 3451
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。docker ps**漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。
【详细分析thinkphp反序列化漏洞
记录学习,一起进步
06-26 1877
【详细分析thinkphp反序列化漏洞
thinkphp5.0.24反序列化漏洞分析
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 写一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
ThinkPHP漏洞大全
热门推荐
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
thinkphp6.0漏洞复现
qq_44657899的博客
01-19 8716
环境搭建 我打算安装在kali上面,首先下载tp6到kali上 // 1. 下载composer.phar: curl -sS https://getcomposer.org/installer | php // 2. 将 composer 命令移动到bin目录,使之全局可用 mv composer.phar /usr/local/bin/composer // 3. 设置中国全量镜像,提升访问速度 composer config -g repo.packagist composer ht
ThinkPHP v6.0.x反序列化漏洞复现
m0_46616663的博客
06-02 1030
这次ciscnweb就做出来一道题呜呜呜呜呜我太菜了唯一的一道在这里仔细复现分析一下贴一张当时的图 当时用dirsearch扫到了www.zip,down下来直接拖到wamp里 搭建成功 题目中的入口函数在\app\controller\Index.php中 在ThinkPHP6.0完全开发手册中可以看到进入路由的访问url 访问测试 漏洞起点在/vendor/topthink/think-orm/src/Model.php中的**__destruct()**函数魔术方法__destruct()
ThinkPHP6.0 反序列化漏洞
Sentiment的博客
05-31 3348
当时学tp就是为了国赛,审了审3和5的寻思已经够用了肯定不能出6的吧就没再审,没想到这次就出了6.012的反序列化还好很简单,所以还是回过头审一遍吧 配置 序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1
ThinkPHP文件包含漏洞分析
include_voidmain的博客
12-10 2129
可见内容为从application\lang路径和think\lang路径加上我们URL中lang参数的内容,但是需要我们的此时lang参数为..\..\info.php但是在file列表的内容为info.php.php因此我们不能加上php的后缀。我们首先跟进range()方法:在App.php中调用range为Lang::range() 因此,range()此时直接return了self::$range此参数在detect中被URL的lang参数控制。
thinkphp 6.x 任意文件写入漏洞
Aiwin的博客
08-06 4748
thinkphp 6.x 任意文件写入漏洞
Thinkphp反序列化漏洞原理
03-10
<think>嗯,我现在要理解ThinkPHP反序列化漏洞原理。首先,我需要回忆一下反序列化漏洞的一般概念。反序列化漏洞通常出现在应用程序将不可信的数据进行反序列化时,攻击者通过构造恶意序列化数据,在反序列化过程中触发代码执行或其他恶意行为。那ThinkPHP的这类漏洞具体是怎么发生的呢? 记得之前学过PHP的反序列化,可能涉及到魔术方法,比如__destruct、__wakeup这些,当对象被销毁或者反序列化的时候会自动调用。如果这些方法中有危险的操作,比如调用其他方法或执行系统命令,就可能被利用。 接下来,我应该看看ThinkPHP框架中有哪些类可能包含这样的魔术方法。例如,可能存在某个类在反序列化时会执行文件操作、命令执行或者动态调用方法。攻击者可能构造一个恶意的对象,当这个对象被反序列化时,会自动调用这些魔术方法,进而执行恶意代码。 然后,ThinkPHP的某些版本可能存在链式调用,也就是利用多个类的组合来达到攻击效果。例如,一个类的方法调用另一个类的方法,形成一条调用链,最终执行危险操作。这种称为POP链(Property-Oriented Programming)。 另外,反序列化的入口点也很重要。应用程序可能在处理用户输入的时候,比如接收Cookie、表单数据或者其他输入时,没有进行过滤就直接反序列化数据,导致攻击者可以注入恶意序列化字符串。 例如,如果ThinkPHP在处理某个参数时使用了unserialize()函数,而参数值用户可控,那么攻击者可以构造恶意数据传入,触发反序列化漏洞。 具体到ThinkPHP漏洞案例,比如之前的某个版本,可能存在某个类在反序列化时,__destruct方法中调用了某个文件删除或者写入的方法,或者动态加载了某个模块,导致攻击者可以控制文件路径或命令,从而进行文件上传、远程代码执行等。 比如,假设有一个类A,其__destruct方法中调用了某个文件操作函数,参数是类的一个属性。攻击者构造一个类A的对象,设置该属性为恶意路径,当对象被反序列化后,销毁时触发__destruct,执行了恶意操作。 或者,某个类B的__wakeup方法中使用了call_user_func或类似的动态函数调用,而调用的函数和参数由类属性控制,攻击者可以构造这些属性来执行任意函数。 再比如,利用ThinkPHP中的模型类、缓存类或者日志类,这些类可能在反序列化时进行某些危险操作。例如,缓存类反序列化时可能写入文件,如果文件名和内容可控,就可能写入webshell。 此外,还需要考虑框架中存在的一些可以利用的链,比如使用Pivot类或者其他内置类,通过链式调用达到命令执行的效果。 总结一下,ThinkPHP反序列化漏洞的原理可能包括以下几个步骤: 1. 存在反序列化入口:应用程序某个地方对用户输入的数据进行了反序列化操作,且未进行充分过滤。 2. 存在可利用的类:框架中的某些类定义了危险的魔术方法,或者在方法中有不安全的使用方式。 3. 构造POP链:攻击者通过组合多个类的属性和方法调用,形成一条能够执行恶意操作的链。 4. 触发恶意代码:当恶意序列化数据被反序列化时,自动调用魔术方法,执行攻击者预设的操作,如文件写入、命令执行等。 为了验证是否正确,我需要查阅一些已知的ThinkPHP反序列化漏洞案例,看看它们的利用方式是否符合上述思路。比如,ThinkPHP 5.x版本中的反序列化漏洞,可能涉及到的类如Windows、Pivot等,通过链式调用最终执行任意代码。 例如,某个漏洞利用链可能开始于某个类的__destruct方法,该方法调用了一个文件处理方法,接着另一个类的方法可能通过参数注入导致命令执行。攻击者需要精心构造这些类的属性,使得在反序列化过程中,这些方法被依次调用,并传递恶意参数。 另外,框架中如果使用了可以操作外部资源的类,比如数据库连接、缓存处理等,也可能成为攻击目标。比如,数据库连接类在反序列化时可能根据属性值连接指定的数据库,如果该属性被控制,可能导致SSRF或其他攻击。 总之,理解ThinkPHP反序列化漏洞需要结合PHP反序列化的基本机制,分析框架中特定类的实现,找到可利用的魔术方法和POP链,以及应用程序中处理用户输入的反序列化入口点。通过这些环节的组合,攻击者能够实现远程代码执行等攻击效果。</think>ThinkPHP反序列化漏洞原理分析如下: --- ### 一、核心概念 1. **反序列化漏洞** 当应用程序将用户可控的序列化数据还原为对象时,若未充分验证数据安全性,攻击者可构造恶意数据触发代码执行。 2. **PHP反序列化机制** PHP的`unserialize()`函数将字符串还原为对象,并自动调用魔术方法(如`__destruct`, `__wakeup`),这些方法若包含危险操作则可能被利用。 --- ### 二、漏洞触发条件 1. **存在反序列化入口** 应用程序直接反序列化用户输入(如Cookie、参数等),例如: ```php $data = unserialize($_GET['data']); // 用户可控的输入 ``` 2. **存在可利用的类** ThinkPHP框架中存在包含危险魔术方法或方法的类,例如: - `__destruct()`:对象销毁时自动调用。 - `__wakeup()`:反序列化时自动调用。 - 动态方法调用(如`call_user_func`)或文件操作函数。 --- ### 三、典型漏洞链(POP链)示例 以下以ThinkPHP 5.x反序列化漏洞为例说明攻击链: #### 1. **入口类:触发魔术方法** 假设存在类`A`,其`__destruct()`方法调用某个文件操作: ```php class A { public $file; public function __destruct() { file_put_contents($this->file, 'data'); // 危险操作! } } ``` 攻击者可控制`$file`属性写入Webshell。 #### 2. **链式调用:组合多个类** 利用框架内部类构造链式调用: - **类B**:通过`__toString()`方法触发其他方法。 - **类C**:通过动态方法调用执行系统命令。 ```php class C { public $cmd; public function exec() { system($this->cmd); // 执行任意命令 } } ``` #### 3. **完整攻击链** 攻击者构造序列化数据: - 创建类`A`对象,设置`$file`为Webshell路径。 - 通过属性注入链接类`B`和`C`,最终触发命令执行。 --- ### 四、漏洞利用步骤 1. **定位反序列化入口** 找到接收用户输入并调用`unserialize()`的位置(如缓存、Session处理)。 2. **分析框架类** 寻找包含魔术方法或危险操作的类,例如: - `think\Cache`:缓存操作可能涉及文件写入。 - `think\process\pipes\Windows`:管道处理可能执行命令。 3. **构造POP链** 组合多个类的属性和方法,形成从反序列化到代码执行的完整调用链。 4. **生成Payload** 序列化恶意对象并发送给目标,触发漏洞。 --- ### 五、防御措施 1. **避免反序列化用户输入** 使用JSON等安全格式替代序列化数据。 2. **限制魔术方法** 避免在`__destruct`、`__wakeup`中执行敏感操作。 3. **更新框架版本** 及时修复已知漏洞(如ThinkPHP 5.0.24+修复了部分反序列化问题)。 4. **输入过滤** 若必须反序列化,需严格校验数据来源和内容。 --- ### 六、案例分析 **漏洞编号**:CVE-XXXX-XXXX(示例) **影响版本**:ThinkPHP 5.x **利用链**: 1. 通过`think\process\pipes\Windows`类的`__destruct`方法触发文件删除。 2. 结合`think\model\Pivot`类的`__toString`方法动态调用危险函数。 --- ### 总结 ThinkPHP反序列化漏洞本质是框架内部类在反序列化时触发危险操作,攻击者通过构造恶意对象链实现代码执行。防御需结合安全编码和框架升级。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值