Thinkphp6.0.x反序列化漏洞复现

漏洞起点

起因: 在做 [安洵杯 2019]iamthinking 时发现是 thinkphp6 的反序列化,那么就去复现一下呗。

看了其他大佬的 wp,上面说 tp6 的反序列化漏洞的后半段利用和 tp5.2.x 是一样的,也就是 __toString 函数上。

第一步相信大家都知道,全局搜索 __destruct ,查找可以利用的点。

选择的标准:
那么有什么选择的标准呢?我是这么想的,就这个版本而言,假定我们先前不知道哪边有漏洞,那么我们在找漏洞的时候可以先看看前几个版本有什么漏洞,有可能它在修好漏洞的时候,又产生了新的漏洞,或者漏洞依然存在,只是利用方式不同罢了,那么借助这个思路我们可以先看看 tp5.2.x 的漏洞产生点,也就是 __toString 函数上。

全局搜索后可以发现在 Conversion.php__toString 往下推会产生一个漏洞。

__toString => toJson => toArray => getAttr => getValue

可以通过可控的属性进行命令执行。
在这里插入图片描述
那么我们这边选择 __destruct 的要求就很明显了,一直往下执行直到有地方能够触发 __toString

这边选择如下图:

在这里插入图片描述

__toString 的触发点为:

save => updateData => checkAllowFields

checkAllowFields 中可以看到有一个字符串连接,而这就是 __toString 的触发点。

在这里插入图片描述

步骤分析

第一步触发 __toString

我们首先要绕过 save 函数的第一个 if 判断。
在这里插入图片描述
isEmpty 函数只需要 $this->data 不为空即可。

在这里插入图片描述
tigger 函数中 $this->withEventfalse 就行。
在这里插入图片描述
然后就是 save 函数的 $this->exists 存在,则进入 updateData()
在这里插入图片描述
updateData() 函数的第一步和上一步一样。

在这里插入图片描述
接着就是 $ data 要存在绕过下面的 if,也就是 getChangedData 中的 $this->forcetrue
在这里插入图片描述
在这里插入图片描述

然后就进入了 checkAllowFields 函数,只需要令 $this->table__toString 的类或者其他。
在这里插入图片描述
简单记录一下流程:

触发 __toString:

svae():
isEmpty()::
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值