thinkphp3.2.3反序列化利用链分析

原创 已于 2022-05-21 15:20:25 修改 · 1.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #web安全 #sql #mysql

于 2022-05-21 15:12:47 首次发布

thinkphp3.2.3反序列化利用链分析

文章目录

前置知识:

  1. PHP反序列化原理
    PHP反序列化就是在读取一段字符串然后将字符串反序列化成php对象。
  2. 在PHP反序列化的过程中会自动执行一些魔术方法
方法名 ---------------调用条件
__call	           调用不可访问或不存在的方法时被调用
__callStatic	   调用不可访问或不存在的静态方法时被调用
__clone	           进行对象clone时被调用,用来调整对象的克隆行为
__constuct	       构建对象的时被调用;
__debuginfo	       当调用var_dump()打印对象时被调用(当你不想打印所有属性)适用于PHP5.6版本
__destruct	       明确销毁对象或脚本结束时被调用;
__get	           读取不可访问或不存在属性时被调用
__invoke	       当以函数方式调用对象时被调用
__isset	           对不可访问或不存在的属性调用isset()empty()时被调用
__set	          当给不可访问或不存在属性赋值时被调用
__set_state	      当调用var_export()导出类时,此静态方法被调用。用__set_state的返回值做为var_export的返回值。
__sleep	          当使用serialize时被调用,当你不需要保存大对象的所有数据时很有用
__toString	      当一个类被转换成字符串时被调用
__unset	          对不可访问或不存在的属性进行unset时被调用
__wakeup	      当使用unserialize时被调用,可用于做些对象的初始化操作
  1. 反序列化的常见起点
__wakeup 一定会调用

__destruct 一定会调用

__toString 当一个对象被反序列化后又被当做字符串使用

4.反序列化的常见中间跳板:

__toString 当一个对象被当做字符串使用

__get 读取不可访问或不存在属性时被调用

__set 当给不可访问或不存在属性赋值时被调用

__isset 对不可访问或不存在的属性调用isset()empty()时被调用

形如 $this->$func();

5.反序列化的常见终点:

__call 调用不可访问或不存在的方法时被调用

call_user_func 一般php代码执行都会选择这里

call_user_func_array 一般php代码执行都会选择这里

6.Phar反序列化原理以及特征

phar://伪协议会在多个函数中反序列化其metadata部分

受影响的函数包括不限于如下:

copy,file_exists,file_get_contents,file_put_contents,file,fileatime,filectime,filegroup,
fileinode,filemtime,fileowner,fileperms,
fopen,is_dir,is_executable,is_file,is_link,is_readable,is_writable,
is_writeable,parse_ini_file,readfile,stat,unlink,exif_thumbnailexif_imagetype,
imageloadfontimagecreatefrom,hash_hmac_filehash_filehash_update_filemd5_filesha1_file,
get_meta_tagsget_headers,getimagesizegetimagesizefromstring,extractTo

环境:

搭建
先到thinkphp官网去下载thinkphp_v3.2.3完整版源码(https://www.thinkphp.cn/Down),然后解压到phpstudy网站根目录下。

利用条件
具有反序列化入口

入口
先写一个反序列化入口,在控制器写入:

//Application/Home/Controller/HelloController.class.php
<?php
namespace Home\Controller;

use Think\Controller;

class HelloController extends Controller
{
   
   
    public function index(){
   
   
        echo base64_decode($_GET['Ufgnix']);
        unserialize(base64_decode($_GET['Ufgnix']));
    }
}

分析过程

由上面的前置知识知道,反序列化头一般在__destruct方法,因此全局搜索__destruct()一个个查看,以可控变量尽量多的原则进行筛选,最终找到:ThinkPHP/Library/Think/Image/Driver/Imagick.class.php 文件中,具有可控变量的析构函数方法:

在这里插入图片描述
分析:

如果我们对 img 属性赋一个对象,那么它会调用 destroy() 方法,因此继续往下走,我们全局搜索具有 destroy() 方法的类

注意:

在PHP7版本中,如果无参调用一个含参方法,ThinkPHP会报错,而在PHP5版本中不会报错

我们全局搜索destroy() 方法的类,找到的的结果如下:ThinkPHP/Library/Think/Session/Driver/Memcache.class.php

在这里插入图片描述

<?php
namespace Think\Session\Driver;

class Memcache {
   
   
	protected $lifeTime     = 3600;
	protected $sessionName  = '';
	protected $handle       = null;
public function destroy($sessID) {
   
   
		return $this->handle->delete($this->sessionName.$sessID);
最低0.47元/天 解锁文章

200万优质内容无限畅学
uf9n1x
关注
Thinkphp 反序列化利用链深入分析
晓得哥的博客
09-29 846
作者:Ethan@知道创宇404实验室 时间:2019年9月21日 前言 今年7月份,ThinkPHP 5.1.x爆出来了一个反序列化漏洞。之前没有分析过关于ThinkPHP反序列化漏洞。今天就探讨一下ThinkPHP反序列化问题! 环境搭建 Thinkphp 5.1.35 php 7.0.12 漏洞挖掘思路 在刚接触反序列化漏洞的时候,更多遇到的是在魔术方法中,因此自动调用魔术方法而触发漏洞...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
[代码审计][ThinkPHP]Thinkphp3.2.3反序列化利用链分析
Y4tacker的博客
04-19 1132
文章目录Thinkphp3.2.3反序列化利用链分析分析利用链 菜鸡在做CTF的时候想深入分析一下,也就产生了这篇文章 Thinkphp3.2.3反序列化利用链分析 分析 首先我们从__destruct方法入手 其他的都是啥如ftp_close之类的没法有效利用,但是在ThinkPHP/Library/Think/Image/Driver/Imagick.class.php找到 public function __destruct() { empty($this->img) || $t
ThinkPHP3.2.3框架详解与实战应用
最新发布
weixin_32098457的博客
06-05 1037
ThinkPHP是一个快速、简洁且具有丰富功能的PHP开发框架。它的设计理念是让Web应用开发更简单、更快速、更优雅。ThinkPHP遵循MVC(Model-View-Controller)设计模式,通过模块化开发,大大提高代码的复用性和项目的可维护性。自2006年发布以来,ThinkPHP因其易于学习和使用的特性,在中文社区中获得了广泛的支持和应用。模块化开发是现代软件开发中的一个核心理念,它提倡将复杂系统分解为可独立开发、测试和维护的小块,这不仅有助于代码的复用,还有利于团队协作和项目管理。
ThinkPHP3.2.3 反序列化漏洞复现
D.MIND 的博客
06-08 1556
ThinkPHP/Library/Think/Image/Driver/Imagick.class.php: __destruct() public function __destruct() { empty($this->img) || $this->img->destroy(); } ThinkPHP/Library/Think/Session/Driver/Memcache.class.php destroy() public function destroy($sessI
ThinkPHP3.2.3反序列化链子分析
蚁景网安学院
04-15 611
 前言  目前官方已经不再维护ThinkPHP3.2.3,本文仅对ThinkPHP3.2.3反序列化链子进行复现,如有纰漏,还望指正。  环境介绍 MAMP pro PhpStorm Xdebug  利用条件 具备反序列化入口  分析过程  首先在分析前,先新建一个控制器,写一个反序列化入口  在Application/Home/Controller/HelloController.class.php中新建以下内容: <?php namespac..
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1601
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
ThinkPHP3.2.3 反序列化链分析与漏洞挖掘
总结起来,ThinkPHP3.2.3反序列化链分析涉及到了魔术方法的使用、参数验证以及不同PHP版本的行为差异。理解这些细节有助于开发者识别潜在的安全风险,并采取相应的预防措施。尽管文章没有深入到修复或防御策略,但...
ThinkPHP3.2.3反序列化链子分析.doc
07-08
首先,分析开始于创建一个反序列化的入口。在`Application/Home/Controller/HelloController.class.php`中,作者创建了一个简单的控制器方法,用于执行反序列化操作。然后,他们搜索了所有带有`__destruct()`魔术...
安全漏洞】ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1823
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
关于TP3.2.3反序列化学习
weixin_43463830的博客
08-06 1047
关于tp3.2.3反序列化链子的学习
ThinkPHP v3.2.3 完整版.rar
08-29
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应 用开发更简单、更快速。为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践! ThinkPHP遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业产 品发布/销售。
ThinkPHP3.2.3完全开发手册CHM版
11-15
这个ThinkPHP3.2.3完全开发手册.chm是我花了几个小时制作的
thinkphp3.2.3
qq_42307546的博客
07-01 435
php
thinkphp 3.x反序列化分析
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-16 424
在这里我们可能会想到3.2.3的delete的sql注入,但是在这里我们需要控制$options让其为数组才能利用,但是在前面分析发现$options只能为字符串,因此就不能直接考虑$options了,通过观察发现,$this->data这个我们是可控的而且会回调delete方法,导致可以传入一个数值,从而引发delete的sql注入。实则并无法利用,因为self::$yyTracFILE只能是资源类型,而我们序列化内容,只能是字符串或者整型,因此无法利用。没用可控的并且返回一个对象的handler方法。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
程序员六七的博客
05-16 638
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkphp v5.1.37 反序列化利用链分析
qq_41891666的博客
07-20 3054
0x00 前言 最近看到一篇代码审计的文章中 ,里面多次提到用thinkphp反序列化利用链 来写shell 。由于之前没有对thinkphp 反序列化利用链做过系统的分析,所以决定最近对thinkphp 反序列化利用链 亲自动手来复现 分析以下。 0x01 环境搭建 我是直接在github 上下载源码来搭建环境的,看到网上也可以用composer来安装。我这里就介绍从github上拉源码来安装的方法: 需要下载 thinkphp 两部分: https://github.com/top-think/
ThinkPHP5.0.0~5.0.23反序列化利用链分析
shelter1234567的博客
01-26 2049
本次测试环境仍然是ThinkPHP v5.0.22版本,我们将分析其中存在的一条序列化链。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值