ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧

原创 于 2024-06-16 19:36:15 发布 · 938 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

在Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析该漏洞的原理、利用方法,并提供相应的防护措施。

漏洞背景

ThinkPHP 5.1.X版本中的反序列化漏洞,主要由于框架在处理序列化数据时,未能充分考虑对象属性的安全性,导致攻击者可以通过构造特定的序列化字符串,实现代码注入和执行。

漏洞原理

序列化与反序列化

序列化是将对象转换为字符串的过程,而反序列化则是相反的过程。在PHP中,这通过serialize()unserialize()函数实现。漏洞的关键在于,当unserialize()接收到恶意构造的序列化字符串时,可以触发对象内部的危险操作。

漏洞成因

ThinkPHP 5.1.X的反序列化漏洞主要成因包括:

  1. 用户可控的反序列化参数:攻击者能够控制传递给unserialize()的参数。
  2. 存在可利用的魔术方法:如__wakeup()__destruct(),在反序列化时自动触发,可能执行危险操作。

漏洞利用

环境搭建

首先,需要搭建存在漏洞的ThinkPHP 5.1.X环境。可以通过官方提供的安装包或源码进行搭建,并确保环境配置正确。

漏洞复现

在ThinkPHP 5.1.X中,可以通过构造特定的序列化字符串,触发__destruct()魔术方法,执行任意代码。例如:


                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞

				
			

			

				

					weixin_43822401的博客
				

				

					06-16
					
					1082
					
				

			

		

		

			
				
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。

			
		

	



                

            
              



	

		

			

				
					
Thinkphp5.1反序列化漏洞复现

				
			

			

				

					qq_63928796的博客
				

				

					11-02
					
					1424
					
				

			

		

		

			
				
最近打ctf总是遇见一些cve,虽然能找到payload但光打payload属实无趣,所以简单看了一点代码审计和thinkphp开发规则后开始跟几个thinkphp漏洞

			
		

	



              


  
              

                


	

		

			

				
					
Thinkphp5.1 反序列化漏洞

				
			

			

				

					nigo134的博客
				

				

					08-06
					
					860
					
				

			

		

		

			
				
exp:

public/ning.php


<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["ethan"=>["calc.exe","calc"]];
        $this->data = ["ethan"=>new 

			
		

	





	

		

			

				
					
ThinkPHP5.1反序列化漏洞

				
			

			

				

					Sentiment的博客
				

				

					05-20
					
					5747
					
				

			

		

		

			
				
前言
在了解完tp的一些规则后,开始本篇反序列化漏洞的复现学习
安装
源码下载链接
没有composer可以去下载,傻瓜式安装即可Composer (getcomposer.org)
使用composer安装
composer create-project topthink/think=5.1.* tp

启动服务
cd tp
php think run

然后就可以在浏览器中访问
http://localhost:8000

搭建成功

反序列化链分析
反序列化利用点肯定要是从__destruct()开始

			
		

	



		

			
		



	

		

			

				
					
Thinkphp5.1.x反序列化漏洞复现

				
			

			

				

					shinygod的博客
				

				

					10-05
					
					1480
					
				

			

		

		

			
				
Thinkphp5.1.x反序列化漏洞复现

			
		

	





	

		

			

				
					
ThinkPHP 5.1反序列化分析和poc

				
			

			

				

					weixin_42282189的博客
				

				

					07-22
					
					1360
					
				

			

		

		

			
				
最近挖不出漏洞了,所以来学习一下反序列化。毕竟测试的系统连个页面也没有,只给了十几个接口。之前对反序列化只停留在基础的原理层面,所以这次着重一下分析思想和如何写poc上面。所以就拿最经典的分析。...

			
		

	





	

		

			

				
					
Thinkphp-v5.1.x反序列化漏洞复现分析

				
			

			

				

					weixin_45678034的博客
				

				

					01-14
					
					3161
					
				

			

		

		

			
				
环境搭建
使用 composer下载项目
composer create-project topthink/think=5.1.37 v5.1.37

配置控制器
<?php
namespace app\index\controller;
class unserialize{
    public function kb(){
        if(isset($_POST['unserialize'])){
            $a = $_POST['unserialize'];
      

			
		

	





	

		

			

				
					
Thinkphp5.1 反序列化漏洞复现

				
			

			

				

					feng的博客
				

				

					02-18
					
					5185
					
				

			

		

		

			
				
前言
开始tp5.1反序列化链的复现,这个链我上学期10月份的时候尝试复现过,但是当时的自己代码审计能力,反序列化的能力也都实在太菜,不足以理解这个链。这个链相比yii2,laravel5.7,5.8的那些链,长度和难度都提高了很多,思维的跳跃也很,自己也要想办法把它啃下来。
源码下载:
thinkphp5源码
或者去github上下载也可以。
然后写个控制器:
<?php


namespace app\index\controller;


class Unserialize
{
    pub

			
		

	





	

		

			

				
					
浅谈ThinkPH5.0和5.1反序列化利用链分析

				
			

			

				

					kali_Ma的博客
				

				

					01-04
					
					1356
					
				

			

		

		

			
				
前言
本文将总结分析ThinkPHP5.0和5.1中的反序列化利用链,一方面以备不时之需,另一方面算是对php反序列化的深入学习。
其中TP5.0的利用链会复杂很多,所以本文会先介绍TP5.1利用链。本文主要分析的代码是ThinkPHP5.0.24和ThinkPHP5.1.41,分别是ThinkPHP5.0和5.1的最终版本
代码分析
该条pop链入口在think\process\pipes\Windows类中,利用__destruct()触发
在file_exists($filename)时,可触发__

			
		

	





	

		

			

				
					
ThinkPHP 系列漏洞

				
			

			

				

					SHELLCODE_8BIT的博客
				

				

					11-18
					
					4759
					
				

			

		

		

			
				
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1thinkphp5 SQL注入1漏洞影响版本: 5.0.13

			
		

	





	

		

			

				
					
Thinkphp5.1 ~ 5.2代码执行漏洞

				
			

			

				

					公众号shadow sock7
				

				

					01-16
					
					9916
					
				

			

		

		

			
				
需要在library/think/Error.php中设置:
error_reporting(0);

http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/
设置前(默认情况下):

设置后:

payload:
POST /thinkphp-5.1.29/html/public/ind...

			
		

	





	

		

			

				
					
ThinkPHP5.1.x 反序列化

				
			

			

				

					LYJ20010728的博客
				

				

					08-23
					
					1101
					
				

			

		

		

			
				
ThinkPHP5.1.x 反序列化补充知识PHP反序列化原理在PHP反序列化的过程中会自动执行一些魔术方法反序列化的常见起点反序列化的常见中间跳板反序列化的常见终点Phar反序列化原理以及特征漏洞环境漏洞分析寻找反序列化的起始点寻找反序列化的中间跳板寻找反序列化代码执行点构造反序列化利用漏洞利用条件
补充知识
PHP反序列化原理


PHP反序列化就是在读取一段字符串然后将字符串反序列化成php对象


在PHP反序列化的过程中会自动执行一些魔术方法




方法名
调用条件




__call
调用

			
		

	





	

		

			

				
					
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...

				
			

			

				

					weixin_39994438的博客
				

				

					11-21
					
					489
					
				

			

		

		

			
				
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...

			
		

	





	

		

			

				
					
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞

					
热门推荐

				
			

			

				

					SoulCat
				

				

					01-27
					
					3万+
					
				

			

		

		

			
				
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞
漏洞概述:

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。111日,ThinkPHP官方发布新版本5.0.24,在114日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5....

			
		

	





	

		

			

				
					
攻防世界 ThinkPHP V5漏洞解析及利用

				
			

			

				

					Haowill的博客
				

				

					04-12
					
					1万+
					
				

			

		

		

			
				
ThinkPHP V5
攻防世界这道题,考察的是thinkphp V5漏洞,接下来我详细介绍一下thinkphp V5这个漏洞ThinkPHP 5漏洞简介
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5....

			
		

	





	

		

			

				
					
ThinkPHP反序列化漏洞

				
			

			

				

					2303_77642110的博客
				

				

					05-18
					
					809
					
				

			

		

		

			
				
中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以最终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源。wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php。

			
		

	





	

		

			

				
					
【详细分析】thinkphp反序列化漏洞

				
			

			

				

					记录学习,一起进步
				

				

					06-26
					
					1882
					
				

			

		

		

			
				
【详细分析】thinkphp反序列化漏洞

			
		

	





	

		

			

				
					
ThinkPHP 5.1.x SQL注入漏洞分析

				
			

			

				

					Fly_鹏程万里
				

				

					12-13
					
					5406
					
				

			

		

		

			
				
一、背景介绍

ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

在近期,ThinkPHP 框架被曝出存在SQL注入漏洞。由于SQL注入漏洞的危害性以及该框...

			
		

	





	

		

			

				
					
[php]-Tp5.1反序列化学习

				
			

			

				

					Mr.木Mu
				

				

					10-11
					
					413
					
				

			

		

		

			
				
咕咕咕利用compoer运行启动服务访问。

			
		

	





	

		

			

				
					
如何防范thinkphp v6.0.x反序列化漏洞

					
最新发布

				
			

			

				

					11-02
				

			

		

		

			
				
防范ThinkPHP v6.0.x反序列化漏洞可从以下几个方面着手:

#### 输入验证过滤
对所有用户输入进行严格的验证和过滤,防止恶意数据进入反序列化流程。在接收用户数据时,使用白名单机制,只允许合法的数据格式和内容通过。例如,在PHP中可以使用`filter_var`函数对输入进行过滤:
```php
$input = $_POST['data'];
if (!filter_var($input, FILTER_VALIDATE_REGEXP, array("options"=>array("regexp"=>"/^[a-zA-Z0-9]+$/")))) {
    die('Invalid input');
}
```

#### 序列化数据的存储传输
在存储和传输序列化数据时,对其进行加密和签名处理。加密可以防止数据在传输过程中被窃取和篡改,签名可以确保数据的完整性和真实性。例如,使用`openssl_encrypt`函数对序列化数据进行加密:
```php
$serialized_data = serialize($data);
$key = "your_secret_key";
$iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc'));
$encrypted_data = openssl_encrypt($serialized_data, 'aes-256-cbc', $key, 0, $iv);
```

#### 框架配置更新
及时更新ThinkPHP框架到最新版本,因为官方通常会修复已知的安全漏洞。同时,合理配置框架的安全选项,如关闭不必要的功能和模块,减少攻击面。

#### 反序列化前的检查
在进行反序列化操作之前,对数据进行完整性检查和合法性验证。可以通过检查数据的长度、格式、签名等信息来判断数据是否合法。例如:
```php
$received_data = $_POST['encrypted_data'];
$received_iv = $_POST['iv'];
$key = "your_secret_key";
$decrypted_data = openssl_decrypt($received_data, 'aes-256-cbc', $key, 0, $received_iv);
if (strpos($decrypted_data, 'O:') === 0) {
    // 检查是否为对象序列化数据
    $allowed_classes = array('AllowedClass1', 'AllowedClass2');
    $class_name = substr($decrypted_data, 2, strpos($decrypted_data, ':') - 2);
    if (!in_array($class_name, $allowed_classes)) {
        die('Invalid class in serialized data');
    }
}
$unserialized_data = unserialize($decrypted_data);
```

#### 日志监控
建立完善的日志系统,记录所有的反序列化操作和相关的用户输入。通过监控日志,可以及时发现异常的反序列化行为,并采取相应的措施。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值