ThinkPHP v6.0.x 反序列化漏洞利用
前言:
上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞。
这里总结一下tp6的反序列化漏洞的利用。
0x01环境搭建
现在tp新版本的官网不开源了,但是可以用composer构建环境,系统需先安装composer。然后执行命令:
composer create-project topthink/think=6.0.x-dev v6.0
cd v6.0
php think run
或者可以去github上下载,但是需要改动很多,也可以去csdn上下载人家配好了的源码。
tp6需要php7.1及以上的环境才能搭建成功。
搭建完成后访问ip加/public即可
0x02利用条件
需要在根目录下的 /app/controller的index.php里面存在unserialize()函数且为可控点,例如存在
unserialize($_GET['payload'])
0x03POP链分析
总的目的是跟踪寻找可以触发__toString()
魔术方法的点
先从起点__destruct()或__wakeup方法
开始,因为它们就是unserialize的触发点。
刚装了系统,还没下载phpstorm,先利用seay审计,然后全局搜索__destruct()方法,这里用了/vendor/topthink/think-orm/src下的Model.php,因为它里面含有save()方法可以被触发。
跟进去,当$this->lazySave == true
时,$this->save()
方法将被触发
$this->lazySave == true
时,会触发$this->save()
方法
跟进save()方法
发现对$this->exists属性进行判断,如果为true则调用updateData()
方法,false则调用insertData()
方法。
试着跟进一下updateData()方法,发现updateData
方法可以继续利用
那么我们首先要构造参数使得updateData()被触发,需要将下面这个if过掉
跟进isEmpty()方法看一下,
保证isEmpty返回false,以及$this->trigger(‘BeforeWrite’)返回true即可绕过判断然后触发我们的updateData()方法。
构造$this->data为非空数组 构造$this->withEvent为false 构造$this->exists为true
继续跟进updateData()方法
需要绕过含有return的判断,第一个判断前面的save方法符合条件,第二个if需要$data非空
$data的属性值由方法getChangedData()控制,跟进它
如图两个变量初始值为[] 符合下面if的判断,结果返回1,即默认返回$data=1,确保这一步绕过之后我们就到了checkAllowFields()方法了
跟进checkAllowFields方法
发现了个字符串拼接
由于$this->field==null,$this->schema==null,因此默认满足
那么我们看上面的db()方法
跟进db()方法
发现满足判断条件的话,就存在$this->table . $this->suffix
参数的拼接,这不就是那两个熟悉的拼接吗,可以触发__toString
满足connect函数的调用即可。
后面就是延续tp5反序列化的触发toString
魔术方法了,就是原来vendor/topthink/think-orm/src/model/concern/Conversion.php的__toString开始的利用链
目前的逻辑链图:
也就是:
__destruct()——>save()——>updateData()——>checkAllowFields()——>db()——>$this->table . $this->suffix(字符串拼接)——>toString()
这一部分构造的参数为:
$this->exists = true; $this->$lazySave = true; $this->$withEvent = false;
寻找__toString触发点
全局搜索__toString(),找到vendor/topthink/think-orm/src/model/concern/Conversion.php
跟进toJson()方法
跟进toArray()方法
第三个foreach里面存在getAttr
方法,他是个关键方法,我们需要触发他
触发条件:
$this->visible[$key]存在,即$this->visible存在键名为$key的键,而$key则来源于$data的键名,$data则来源于$this->data,也就是说$this->data和$this->visible要有相同的键名$key
构造参数,把$key
做为参数传入getAttr
方法
跟进getAttrr()方法
然后$key值就传入到了getData()方法,跟进getData方法
第一个if判断传入的值,$key值不为空,因此绕过,然后$key值传入到了getRealFieldName()方法,跟进getRealFieldName
方法
当$this->strict
为true
时直接返回$name
,即$key
回到getData
方法,此时$fieldName = $key
,进入判断语句:
返回$this->data[$fielName]也就是$this->data[$key]
,记为$value
,再回到getAttr
也就是返回 $this->getValue($key, $value, null);
跟进getValue()方法
只要满足$this->withAttr[$key]存在且$this->withAttr[$key]不为数组就可以触发命令执行。
最终会把$this->withAttr[$key]作为函数名动态执行函数,而$value作为参数,就可以利用执行系统函数达到命令执行。
到这里呈现了一条完整的POP链。
后半部分__toString的逻辑链图
这一部分参数赋值:
$this->table = new think\model\Pivot(); $this->data = ["key"=>$command]; $this->visible = ["key"=>1]; $this->withAttr = ["key"=>$function]; $this->$strict = true;
因为这里的Model
类为抽象abstract
类,所以我们需要找一个继承于Model
的类,比如Pivot
类
0x04 利用exp
tp默认主页目录为/public/,这下面的index.php会定位到/app/controller/index.php文件,因此url中/public/将调用app/controller/index.php,那么我们要知道里面的GET变量,用来传参数。
那么我们定位到app/controller/index.php,找到里面的unserialize()函数里面的GET变量。我这里的环境里面没有unserialize()函数,我们手动加上并加上一个GET变量
网上我看到其他tp6框架的这个文件里面用的是$u这个变量来装unserialize()的值,并且用的GET变量是c,而且还对GET变量进行了base64_decode(),我这里为了对应安询杯比赛环境,没有加上base64编码。
首先利用phpggc工具生成exp,phpggc是一个反序列化payload生成工具,大佬们已经将tp6的exp上传到了phpggc,需要安装在linux上,然后执行以下命令生成exp的payload
./phpggc -u ThinkPHP/RCE2 'phpinfo();'
将生成的序列化字符串的payload传参给GET变量c,发送请求,然后将执行phpinfo()。