thinkphp5.0.24反序列化漏洞分析

最新推荐文章于 2025-11-23 11:00:04 发布
原创 最新推荐文章于 2025-11-23 11:00:04 发布 · 1.6w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Web #thinkphp5.0.24

本文深入分析了ThinkPHP5.0.24的反序列化漏洞,从反序列化起点开始,详细阐述了如何通过特定的类和方法组合触发文件写入。通过构造特定的对象并利用__call方法,最终能够在系统中写入文件,但内容不可控。同时,文章还探讨了在Windows环境下文件名的限制及其解决方案。

thinkphp5.0.24反序列化漏洞分析

文章目录

thinkphp5框架:

image-20220615000257518

thinkphp5的入口文件在public\index.php,访问

http://192.168.64.105/thinkphp_5.0.24/public/index.php

image-20220615000539160

具体分析

反序列化起点

写一个反序列化入口点

image-20220615001131637

全局搜索__destruct()函数

image-20220615001115342

\thinkphp_5.0.24\thinkphp\library\think\process\pipes\Windows.php中的__destruct()函数,调用了removeFiles()

image-20220615001339350

跟进removeFiles(),第163行的file_exists可以触发__toString方法

image-20220615001418986

全局搜索__toString方法

thinkphp\library\think\Model.php的第2265行,发现其调用了toJson方法

image-20220616230519422

跟进toJson,发现其调用了toArray()方法(在Model.php中)

image-20220616230630861

toArray

跟进toArray,发现其有三处可以调用__call方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发__call魔术方法)

__call(),在对象中调用一个不可访问方法时调用。

image-20220616231036322

着重看第三处,也就是第912行,这个需要我们控制$value变量

这个$value变量是根据 $value = $this->getRelationData($modelRelation);而来的

getRelationData分析

跟进getRelationData方法,注意参数$modelRelation需要是Relation类型的,该方法也是thinkphp\library\think\Model.php中定义的

image-20220616235535073

如果我们让if满足,那么$value=$this->parent,看三个条件

  1. $this->parent存在且可控
  2. 第二个条件!$modelRelation->isSelfRelation(),跟进isSelfRelation()方法,该方法在thinkphp\library\think\model\Relation.php中定义,返回$this->selfRelation,可控

image-20220617230450476

  1. 第三个条件get_class($modelRelation->getModel()) == get_class($this->parent),也就是

跟进getModel()函数,该函数在thinkphp\library\think\model\Relation.php,返回$this->query->getModel(),其中$query可控

image-20220617230828281

所以我们要查哪个类的getModel()可控,最后找到了thinkphp\library\think\db\Query.php的getModel方法,该方法返回$this->model,并且$this->parent可控

image-20220617231051519

三个条件都满足,执行$value = $this->parent; return $value;,也就是\think\console\Output

该函数分析到这里

$modelRelation生成

上面分析了函数的执行过程,接下来分析我们怎么能传入一个Relation类的$modelRelation参数

发现$relation()函数是根据$relation的值进行调用的,需要满足if条件method_exists

image-20220617231704327

跟进Loader::parseName瞅一瞅,这个函数也只是对传入的$name进行了一些大小写的替换,没有一些很严格的过滤操作,因为$name可控,所以$relation可控

image-20220617232020032

在$relation可控的前提下,要满足这个method_exists,则需要将$relation设定为$this(也就是thinkphp\library\think\Model.php)中存在的方法

if (method_exists($this, $relation))

这里选择getError,因为其不仅在Model类中定义,且error可控

在这里插入图片描述

所以我们只要设置了$error,那么其值就会通过 $modelRelation = $this->$relation();传给$modelRelation ,因为relation()也就是 Error(),所以就是$modelRelation = $this->Error(),即$modelRelation = $error

modelRelation分析到这里,而我们传的$error是什么,接下来会分析,其实就是HasOne

进入__call前的两个if

接下来要分析两个if条件

image-20220617233102696

我们看第一个if,要满足 m o d e l R e l a t i o n 这 个 类 中 存 在 g e t B i n d A t t r ( ) 函 数 , 而 且 下 一 个 ‘ modelRelation这个类中存在getBindAttr()函数,而且下一个` modelRelationgetBindAttr()

最低0.47元/天 解锁文章
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 4020
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 1908
好了,回到正题,继续跟进到877行,
Thinkphp 5.0.24反序列化漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
ThinkPHP 5.0.24 缓存文件包含RCE漏洞分析CVE-2025-63888
最新发布
rockmelodies的博客
11-23 437
ThinkPHP 5.0.24存在文件包含漏洞(CVE-2025-63888),攻击者可构造恶意路径通过view()函数包含任意文件(如含PHP代码的图片),导致远程代码执行。漏洞原理在于view()函数未严格校验模板路径,允许包含非模板文件。复现步骤:1)创建含PHP代码的图片文件;2)通过view()包含该文件;3)触发代码执行。调用链为view()→Response→View→Template→File::read()。该漏洞影响ThinkPHP 5.0.24版本,需及时升级修复。
tp5漏洞利用工具.zip
01-03
Thinkphp5代码执行漏洞利用工具 (一共两个 包含利用原理)只要检测到存在Thinkphp5漏洞都能直接getshell(没狗的情况下)
TP 5.0.24反序列化漏洞分析
goddemon
10-20 8586
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
thinkphp5.0.24反序列化链子分析
m0_62422842的博客
07-19 2381
thinkphp5.0.24框架反序列化的两种链子思路分析
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析
11-21 4836
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析 ThinkPHP5.0.24 漏洞代码<?php namespace app\index\controller; class Index { public function test01(){ $code = $_POST['code']; unserialize(base64_decode($code)); } } payload/index.php/index/index/t
Thinkphp 5.0.24反序列化漏洞修复方案
笨鸟的博客
11-24 8666
Thinkphp 5.0.24存在反序化漏洞,入口点在thinkphp/library/think/process/pipes/Windows.php中__destruct魔术方法。 网上有很多讲解如何利用这个漏洞进行攻击,百度Thinkphp 5.0.24反序化漏洞会出来一堆。 但是如何修复这个漏洞没有讲解,我去Thinkphp 官网上也没有查到,我的建议一个是升级Thinkphp版本。 下面是我的修复方案: 第1种方案:修改removeFiles方法如下: /** * 删除
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7733
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
ThinkPHP <5.0.24 Request.php 远程代码执行漏洞 --已解决
weixin_34342905的博客
03-11 681
2019年1月11日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,***者构造特定的恶意请求,可以直接获取服务器权限,受影响的版本包括5.0.0~5.0.23版本 修复方法1.打开thinkphplibrarythinkRequest.php搜索 public function method($method = false){if (true === $m...
ThinkPHP5.0.24 Request.php 远程代码执行高危漏洞 修复
qq_40880022的博客
04-10 1740
修改文件 thinkphp/library/think/Request.php。ThinkPHP 5.0系列 < 5.0.24ThinkPHP 5.0系列 5.0.24ThinkPHP 5.1系列 5.1.31。
【亲测免费】 深入剖析ThinkPHP 5.0.24 GetShell漏洞:安全防护与实战指南
gitblog_06609的博客
10-29 1197
深入剖析ThinkPHP 5.0.24 GetShell漏洞:安全防护与实战指南 【下载地址】记一次tp5.0.24getshell1资源文件下载 记一次tp5.0.24 getshell1 资源文件下载本仓库提供了一个资源文件的下载,该文件详细记录了一次针对ThinkPHP 5.0.24版本的getshell漏洞的利用...
thinkphp v5.0.24 密码爆破_ThinkPHP < 5.0.24 远程代码执行高危漏洞的修复方案
weixin_39646970的博客
11-25 3982
点击蓝字关注我们!每天获取最新的编程小知识!源 /php中文网 源 /www.php.cn本篇文章主要给大家介绍ThinkPHP<5.0.24远程代码执行高危漏洞的修复方案,希望对需要的朋友有所帮助!漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。漏洞评级严重...
关于ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
q469587851的博客
03-28 1236
漏洞描述 由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 < 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 \thinkphp\...
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值