Thinkphp6.0.x反序列化漏洞复现

最新推荐文章于 2024-10-03 19:13:53 发布
原创 最新推荐文章于 2024-10-03 19:13:53 发布 · 2.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Thinkphp6.0.x #反序列化漏洞复现

漏洞起点

起因: 在做 [安洵杯 2019]iamthinking 时发现是 thinkphp6 的反序列化,那么就去复现一下呗。

看了其他大佬的 wp,上面说 tp6 的反序列化漏洞的后半段利用和 tp5.2.x 是一样的,也就是 __toString 函数上。

第一步相信大家都知道,全局搜索 __destruct ,查找可以利用的点。

选择的标准:
那么有什么选择的标准呢?我是这么想的,就这个版本而言,假定我们先前不知道哪边有漏洞,那么我们在找漏洞的时候可以先看看前几个版本有什么漏洞,有可能它在修好漏洞的时候,又产生了新的漏洞,或者漏洞依然存在,只是利用方式不同罢了,那么借助这个思路我们可以先看看 tp5.2.x 的漏洞产生点,也就是 __toString 函数上。

全局搜索后可以发现在 Conversion.php__toString 往下推会产生一个漏洞。

__toString => toJson => toArray => getAttr => getValue

可以通过可控的属性进行命令执行。
在这里插入图片描述
那么我们这边选择 __destruct 的要求就很明显了,一直往下执行直到有地方能够触发 __toString

这边选择如下图:

在这里插入图片描述

__toString 的触发点为:

save => updateData => checkAllowFields

checkAllowFields 中可以看到有一个字符串连接,而这就是 __toString 的触发点。

在这里插入图片描述

步骤分析

第一步触发 __toString

我们首先要绕过 save 函数的第一个 if 判断。
在这里插入图片描述
isEmpty 函数只需要 $this->data 不为空即可。

在这里插入图片描述
tigger 函数中 $this->withEventfalse 就行。
在这里插入图片描述
然后就是 save 函数的 $this->exists 存在,则进入 updateData()
在这里插入图片描述
updateData() 函数的第一步和上一步一样。

在这里插入图片描述
接着就是 $ data 要存在绕过下面的 if,也就是 getChangedData 中的 $this->forcetrue
在这里插入图片描述
在这里插入图片描述

然后就进入了 checkAllowFields 函数,只需要令 $this->table__toString 的类或者其他。
在这里插入图片描述
简单记录一下流程:

触发 __toString:

svae():
isEmpty()::
最低0.47元/天 解锁文章
ThinkPHP6.0 反序列化漏洞
Sentiment的博客
05-31 3352
当时学tp就是为了国赛,审了审3和5的寻思已经够用了肯定不能出6的吧就没再审,没想到这次就出了6.012的反序列化还好很简单,所以还是回过头审一遍吧 配置 序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1
ThinkPHP v6.0.x反序列化漏洞复现与分析
m0_61083409的博客
06-18 2327
初始环境,需要注意的是,新版v6基于开发 使用进行安装 坑点,截止到 ,默认核心安装的为 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请部署完成后,请前往 中,修改核心依赖相关版本,回退更新 进行回退更新,没有出现报错即成功 开启web服务进行验证访问’ 注意:实际测试需要PHP版本>7.2.5**** 版本安装后默认使用单应用模式部署,url访问受到路由模式的影响,为了使用方便,我们先要去 中将 访问控制器中的方法名,并且传递参数值 需要编写一个控制器模块并存在反序列化可控点,这样
Thinkphp6.0 反序列化漏洞
feng的博客
03-12 2347
准备 创建工程: composer create-project topthink/think thinkphp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1", "topthink/think-orm": "^2.0" }, composer update index控制器: <?php namespace app\controller;
从[安洵杯2019]iamthinking到thinkphp6.0反序列化漏洞复现
m0_64348326的博客
05-30 799
方法,同时满足条件的属性也是在父类Model构造函数中初始化的。但由于Model是抽象类,无法实例化对象,只能找它的子类Pivot来创建对象,但是父类的属性又必须初始化才能满足条件,所以子类的构造函数必须调用父类的构造函数来初始化父类的属性以满足条件。7.继续跟进getAttr()方法,通过getData()然后返回getValue()方法,最后再该方法中找到命令执行点。由于这是个抽象类,于是查找它子类的save()方法看看能不能有利用的。中的save方法,跟进save()方法,然后我们需要进入。
thinkphp6.x 反序列化漏洞
weixin_61785633的博客
07-09 1428
thinkphp5.x的反序列化还在贴图片,md文件不能直接沾上来难受,而这个遇到个奇怪的问题,一个代码开始能运行,过段时间居然报错了,不得不说计算机挺玄学的。
ThinkPHP V6.0反序列化漏洞复现
WDWAGAAFGAGDADSA的博客
12-11 4839
TP6反序列化漏洞复现
thinkphp6漏洞
小发猫
10-03 712
ThinkPHP 是一个为了简化企业级应用开发和敏捷Web应用开发而诞生的PHP框架。它基于MVC(Model-View-Controller)模式,提供了强大的功能支持以及灵活的扩展机制。随着版本的迭代,ThinkPHP6带来了更多新的特性和改进,但也伴随着安全性的考量。本文将介绍ThinkPHP6中可能遇到的一些漏洞类型,并提供相应的防范措施。在开始讨论如何防范之前,我们首先需要了解什么是ThinkPHP6中的漏洞
Thinkphp6 反序列化漏洞分析
无问社区的博客
08-22 2184
小编对Thinkphp6 反序列化漏洞的分析和自己的总结,全篇有点长,可以互相交流一下
php漏洞搭建复现,ThinkPHP6.0 任意文件操作 漏洞分析复现
weixin_29009501的博客
03-22 1389
一、漏洞简介2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。攻击者可利用此漏洞构造恶意的数据报文,向服务器写入任意内容的文件,从而能够达到远程代码执行.二、影响范围ThinkPHP6.0.0ThinkPHP6...
thinkphp6文件写入漏洞
01-08
网络安全
ThinkPHP 6漏洞的深入探讨
a159900的博客
07-13 878
ThinkPHP,作为一个在国内广泛使用的PHP开发框架,以其易用性和高效性赢得了众多开发者的青睐。我个人觉得随着技术的不断发展,安全问题也逐渐成为其必须面对的挑战。近期,关于ThinkPHP 6漏洞问题引起了业界的广泛关注。本文将详细讨论ThinkPHP 6漏洞问题,分析其产生原因、影响以及防范策略。必须承认的是,ThinkPHP 6漏洞问题是一个不容忽视的安全挑战。开发者应关注并了解这些漏洞的产生原因和影响,采取相应的防范策略来保障网站的安全稳定。确保网站的安全和用户的隐私。
Python武器库开发-武器库篇之ThinkPHP6 多语言本地文件包含漏洞(六十七)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-24 2010
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
2401_83947105的博客
04-14 1593
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0
thinkphp 6.x 任意文件写入漏洞
Aiwin的博客
08-06 4760
thinkphp 6.x 任意文件写入漏洞
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6
gan_zi_ge的博客
09-08 3486
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。docker ps**漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。
Think.PHP框架漏洞复现
m0_71300782的博客
09-13 2549
2.服务器启动先cd到thinkphp文件夹下面的5-rce里面,然后docker-compose up -d 安装环境3.进入浏览器ip地址加8080看见。
ThinkPHP历史漏洞复现
xlsj雪松的博客
03-09 531
1 ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持 windows/Unix/Linux等服务器环境。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6(2),2024年最新面试题+笔记+项目实战
04-15 2073
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0
如何防范thinkphp v6.0.x反序列化漏洞
最新发布
11-02
防范ThinkPHP v6.0.x反序列化漏洞可从以下几个方面着手: #### 输入验证与过滤 对所有用户输入进行严格的验证和过滤,防止恶意数据进入反序列化流程。在接收用户数据时,使用白名单机制,只允许合法的数据格式和内容通过。例如,在PHP中可以使用`filter_var`函数对输入进行过滤: ```php $input = $_POST['data']; if (!filter_var($input, FILTER_VALIDATE_REGEXP, array("options"=>array("regexp"=>"/^[a-zA-Z0-9]+$/")))) { die('Invalid input'); } ``` #### 序列化数据的存储与传输 在存储和传输序列化数据时,对其进行加密和签名处理。加密可以防止数据在传输过程中被窃取和篡改,签名可以确保数据的完整性和真实性。例如,使用`openssl_encrypt`函数对序列化数据进行加密: ```php $serialized_data = serialize($data); $key = "your_secret_key"; $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc')); $encrypted_data = openssl_encrypt($serialized_data, 'aes-256-cbc', $key, 0, $iv); ``` #### 框架配置与更新 及时更新ThinkPHP框架到最新版本,因为官方通常会修复已知的安全漏洞。同时,合理配置框架的安全选项,如关闭不必要的功能和模块,减少攻击面。 #### 反序列化前的检查 在进行反序列化操作之前,对数据进行完整性检查和合法性验证。可以通过检查数据的长度、格式、签名等信息来判断数据是否合法。例如: ```php $received_data = $_POST['encrypted_data']; $received_iv = $_POST['iv']; $key = "your_secret_key"; $decrypted_data = openssl_decrypt($received_data, 'aes-256-cbc', $key, 0, $received_iv); if (strpos($decrypted_data, 'O:') === 0) { // 检查是否为对象序列化数据 $allowed_classes = array('AllowedClass1', 'AllowedClass2'); $class_name = substr($decrypted_data, 2, strpos($decrypted_data, ':') - 2); if (!in_array($class_name, $allowed_classes)) { die('Invalid class in serialized data'); } } $unserialized_data = unserialize($decrypted_data); ``` #### 日志与监控 建立完善的日志系统,记录所有的反序列化操作和相关的用户输入。通过监控日志,可以及时发现异常的反序列化行为,并采取相应的措施。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值