ThinkPHP5.0.24 反序列化浅析

阅读量382132

|

发布时间 : 2022-01-19 15:30:32

 

一、概述

对于这个漏洞的学习,有几个大体的思路,一是向大佬学习;二是找到可以利用的点,再不断构造合理的对象向这个点靠近;三是把几个子链分别构造好再连起来。

另外,查到的资料说这个漏洞并不是适用于所有的TP5.0.X版本,这里为了不产生歧义,只记成TP5.0.24版本。

 

二、分析

(一)环境搭建

Windows、PHPStudy(PHP5.6)、ThinkPHP5.0.24;

首先安装此版本的ThinkPHP,

composer create-project topthink/think tp 5.0.24

index controller改为

class Index
{
    public function index()
    {
        @unserialize($_GET['k']);
    }
}

调用栈如下,

File.php:160, think\cache\driver\File->set()
Memcache.php:94, think\session\driver\Memcache->write()
Output.php:154, think\console\Output->write()
Output.php:143, think\console\Output->writeln()
Output.php:124, think\console\Output->block()
Output.php:212, call_user_func_array()
Output.php:212, think\console\Output->__call()
Model.php:912, think\console\Output->getAttr()
Model.php:912, think\Model->toArray()
Model.php:936, think\Model->toJson()
Model.php:2267, think\Model->__toString()
Windows.php:163, file_exists()
Windows.php:163, think\process\pipes\Windows->removeFiles()
Windows.php:59, think\process\pipes\Windows->__destruct()
App.php:8, app\index\controller\Index->index()

(二)分析与调试

分为几个部分进行分析。

1.从Windows.removeFiles()到Model.toArray()

从Windows的__destruct开始看,

close()中没有可以直接使用的点,removeFiless()中有file_exists()的判断,如果file_exists()的参数是一个对象,则会调用其对应类的__toString()方法,

think\Model中有很好的__toString()方法,其中调用了toJson,toJson中调用了toArray。

这里需要注意,Model是个抽象类,没法直接从抽象类创建对象,它的意义在于被扩展,

经过搜索,可以选择Pivot与Merge两个类作为具体实现,选择哪一个对主干不会产生太大影响,但会对PoC的写法产生细微差别(个别字段的public与private属性),这里先选择Merge。

进入Model.toArray之后,就该考虑如何进一步调用到Output.__call()

2.从Model.toArray到Output.__call()

从Model的toArray中,我们可以看到有若干个疑似可以利用的点,选择不同的触发点会对整个流程产生一定影响。此处选择$item[$key] = $value ? $value->getAttr($attr) : null;这一点。

接下来遇到一个很现实的问题,就是找到了这个点之后,怎么在$value有意义的前提下,保证程序可以在前面的若干行代码中不出错,进而顺利正常抵达这里。

(1)进入else

首先最高级的if和内部的大else前面的if和elseif较为直接,要求如下:$this->append不为空,$name不可为数组,$name不可包含“.”。这里是遍历$this->append数组,而这个数组是我们可控的,则对应的$key和$name也都可控,故这里可以较为容易的走过。这一部分可以简单走过,重要的是else之中的隐藏的阻碍。

(2)parseName与进入if (method_exists($this, $relation))

首先跟进看Loader::parseName($name, 1, false);

功能是字符串命名风格转换,应该来讲没什么影响,$relation应该可以和$name直接划等号。

接下来看如何使method_exists($this, $relation)这一条件为true,这要求我们找一个Model或其子类中存在的方法名,由此可见,上一小步中的$this->append不能随意构造,应该放入一个合适的方法名。

(3)getRelationData

可以看到,在判断$this中定义了$relation函数后,便会调用这个函数,赋值给$modelRelation变量,且接下来还会将$this->getRelationData($modelRelation)赋值给$value,$value将在$item[$key] = $value ? $value->getAttr($attr) : null;这关键一行中发挥作用,这就要求我们找到一个具有优良性质的函数来串起这一切。

Model类中的getError方法具有逻辑简单、返回值直接可控的性质,没有比这个函数还好用的函数了,也许选别的也可以,但选这个准没错。

我们将$this->append赋值为[‘getError’],$this->error的值可根据需要再行设定。

跟进看下一行的$value = $this->getRelationData($modelRelation);

有一个比较严苛的条件if ($this->parent && !$modelRelation->isSelfRelation() && get_class($modelRelation->getModel()) == get_class($this->parent))

首先$this->parent不能是null,其次还得有isSelfRelation()和getModel()这两个方法,且$modelRelation->isSelfRelation()的返回值不为空,最后还有一个类型比较。

若想研究isSelfRelation()和getModel()这两个方法,得先保证$modelRelation有这两个方法,否则就不用研究这两个函数了。另外,根据上面的构造的分析,我们知道$modelRelation实质上是$this->error,$this->error的值便依此而定。

经过搜索发现,Relation类中有这两个方法的定义,但是和Model一样,Relation是个抽象类,我们需要寻找它的可用的子类。

看看另外两个函数。

其一返回Model的selfRelation,由于要加上逻辑否,这里设置为false即可;其二最终返回了$this->query->model。我们要保证$this->query->model和$this->parent属于相同类。在没有向下看之前,这里的要求还相对宽松,大概只能推测出$this->error要是Relation的子类,$value 的值由$this->parent决定这两点。

(4)method_exists($modelRelation, ‘getBindAttr’)

这算得上是这一子链的较为关键的一部分,

要想进入红色的触发点,必须保证$modelRelation中存在getBindAttr()方法,且$bindAttr要具有一定的性质。

上面提到$modelRelation实际上是$this->error,是我们可控的,且要是Relation的子类,

我们搜索发现,只有OnetoOne类中定义了getBindAttr()方法,

且查看后发现,此类是继承了Relation的抽象类,可以满足此一步和上一步的要求。

接下来要做的是找一个合适的OneToOne的子类。全局搜索,找到如下两个,

经过查看,这两个的相关属性和方法几乎一模一样,选择哪个应该都可以,只是PoC写的时候有所区分,这里选择HasOne。

由刚才的分析,我们知道,这一段中有两个举足轻重的变量:$this->error(即$modelRelation)和$this->value,刚才我们的分析主要集中在能够保证抵达触发点的$this->error上,至于触发点处的$this->value的取值,要考虑到后续的利用,根据大佬的指点,我们后面要使用Output.__call(),所以$this->value必须为Output对象,

且由getRelationData()知,$this->parent应为Output对象。

因为还要过get_class($modelRelation->getModel()) == get_class($this->parent)这一道障碍,$this->query->model也应和$this->parent一样,是Output对象。class Query中天然带着$model,可以作为$this->query,其$model属性应为Output对象。

(5)$modelRelation->getBindAttr()

接下来要研究的是$bindAttr = $modelRelation->getBindAttr();这一句。

跟进可见,这一函数功能也是非常简单直接,我们可以直接控制$this->bindAttr为我们想要的对象。

首先$this->bindAttr应该是一个不空的数组,接下来$this->data直接为空即可保证能够进入else即可,这里重要的是$value,不管$attr是何值,只要能够触发Output->getAttr($attr)就会去调用__call方法,就能进入下面的环节了。

3.从Output.__call()到Memcached.write()

跟进Output.__call(),

在简单构造$this->styles后,就能进入call_user_func_array([Output, 'block'], $args),调用block方法,

接下来能否成功利用,就看Output的$this->handle->write了。

首先Output.handle是可控的,我们要找一个带有合适的write()方法的类。

搜索一下,发现了数个定义有write的类,

从中有没有比较合适的呢,经过学习可知,我们可以选择think\session\driver\Memcached 类。Memcached的write() 中调用了 $this->handler->set()方法,且$this->handler可控,再加上think\cache\driver\File中的set() 方法可以写文件,故而选择Memcached。

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
$result = file_put_contents($filename, $data);

4.Memcached.write()->File.set()

但当仔细观察时,我们会发现这个思路其实是存疑的:此处可以写入文件不假,但是否可以写入webshell有待考证,因为这里的$data未必是可控的。

向上找$data,会发现$data的值为定值true,这样一来,如果没有进一步方案,写入shell的想法就会失败。

这时如果我们接着往下看,会看到一句$this->setTagItem($filename)的代码,其将文件名$filename作为参数传给了setTagItem(),跟进setTagItem($name),

可以看到此处将$filename作为$value,又调用了一次$this->set()方法,也就是说,如果文件名构造得当,还是有机会写入webshell的。

而$filename的值是由getCacheKey产生的,跟进之。

可以看到,这个函数相对友好,有一个md5哈希操作和一个与$this->options[‘path’]的拼接操作,在一定条件下,最终的$filename基本上是可控可知的。但是要注意到$data是由$data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;这样一句产生的,应想办法解决掉这个exit(),另外如果是在Windows环境下写文件还需要将一些特殊符号转化掉,这里就涉及到一个较为深入的知识点了,有大佬已经做了详细的解读(链接一链接二),这里直接拿来用,令$this->options['path']'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.php',

如此,在第一次进入set()时,我们生成了一个文件名为

php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.phpc9a7cef7c410e3ea21c4287f392fd663.php

内容为

<?php
//000000000000
exit();?>
b:1;
的文件,

第二次由setTagItem($filename)进入set(),才是生成webshell的关键一步。

文件名为$this->options['path'].md5('tag_' . md5($this->tag)).'.php'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.php3b58a9545013e88c7186db11bb158c44.php的文件,其内容为<?php
//000000000000
exit();?>
s:154:"php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.phpc9a7cef7c410e3ea21c4287f392fd663.php";

在过滤器的作用下,将写出webshell。

最后发送个想要的POST包即可。

 

三、参考链接

感觉到整条链分析的过程是很有意思的,追溯思路与调试时不停地感叹大佬tql,“妈妈问我为什么跪着玩电脑”。

https://github.com/Mochazz/ThinkPHP-Vuln/blob/master/ThinkPHP5/ThinkPHP5.0.X%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%88%A9%E7%94%A8%E9%93%BE.md

https://www.anquanke.com/post/id/196364

https://xz.aliyun.com/t/7457

本文由northind原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/265088

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
northind
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66