thinkphp5.0.24反序列化漏洞分析

最新推荐文章于 2025-05-21 14:13:37 发布
原创 最新推荐文章于 2025-05-21 14:13:37 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #php #web安全 #数据库 #开发语言

本文深入分析了ThinkPHP5.0.24框架中的反序列化漏洞,从反序列化起点开始,详细探讨了toArray、getRelationData、__call等关键方法,以及如何构造payload实现文件写入。通过对相关类和方法的分析,揭示了漏洞形成的原因及可能的利用方式,提供了解决此问题的思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

thinkphp5.0.24反序列化漏洞分析

文章目录

thinkphp5框架:

image-20220615000257518

thinkphp5的入口文件在publicindex.php,访问

http://192.168.64.105/thinkphp_5.0.24/public/index.php

image-20220615000539160

具体分析

反序列化起点

写一个反序列化入口点

image-20220615001131637

全局搜索__destruct()函数

image-20220615001115342

hinkphp_5.0.24 hinkphplibrary hinkprocesspipesWindows.php中的__destruct()函数,调用了removeFiles()

image-20220615001339350

跟进removeFiles(),第163行的file_exists可以触发__toString方法

image-20220615001418986

全局搜索__toString方法

thinkphplibrary hinkModel.php的第2265行,发现其调用了toJson方法

image-20220616230519422

跟进toJson,发现其调用了toArray()方法(在Model.php中)

image-20220616230630861

toArray

跟进toArray,发现其有三处可以调用__call方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发__call魔术方法)

__call(),在对象中调用一个不可访问方法时调用。

image-20220616231036322

着重看第三处,也就是第912行,这个需要我们控制$value变量

这个 v a l u e 变量是根据 ‘ value变量是根据 ` value变量是根据value = t h i s − > g e t R e l a t i o n D a t a ( this->getRelationData( this>getRelationData(modelRelation);`而来的

getRelationData分析

跟进getRelationData方法,注意参数$modelRelation需要是Relation类型的,该方法也是thinkphplibrary hinkModel.php中定义的<

最低0.47元/天 解锁文章

200万优质内容无限畅学
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析
11-21 4744
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析 ThinkPHP5.0.24 漏洞代码<?php namespace app\index\controller; class Index { public function test01(){ $code = $_POST['code']; unserialize(base64_decode($code)); } } payload/index.php/index/index/t
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 1701
好了,回到正题,继续跟进到877行,
ThinkPHP5.0.24:一站式API开发框架完整实现
最新发布
weixin_42608318的博客
05-21 381
ThinkPHP5.0.24作为一款流行于PHP开发者中的高级框架,其核心特性是高效开发的基石。本章将带您一探究竟,从基础架构到扩展功能,全面了解ThinkPHP5.0.24的核心优势。在ThinkPHP5中,RESTful路由的实现非常简单和直观。框架支持直接通过资源控制器来映射HTTP动词到特定的动作,这使得开发者可以轻松地为资源创建标准的RESTful接口。
Thinkphp 5.0.24反序列化漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
TP 5.0.24反序列化漏洞分析
goddemon
10-20 8198
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
tp5漏洞利用工具.zip
01-03
标题中的“tp5漏洞利用工具.zip”指的是一个包含利用ThinkPHP5框架中安全漏洞工具包,这个压缩包主要用于测试和展示ThinkPHP5代码执行漏洞利用方式。描述提到,这个工具包含了两种方法,用于在目标系统上检测并...
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6863
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
ThinkPHP <5.0.24 Request.php 远程代码执行漏洞 --已解决
weixin_34342905的博客
03-11 641
2019年1月11日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,***者构造特定的恶意请求,可以直接获取服务器权限,受影响的版本包括5.0.0~5.0.23版本 修复方法1.打开thinkphplibrarythinkRequest.php搜索 public function method($method = false){if (true === $m...
Thinkphp 5.0.24反序列化漏洞修复方案
笨鸟的博客
11-24 8498
Thinkphp 5.0.24存在反序化漏洞,入口点在thinkphp/library/think/process/pipes/Windows.php中__destruct魔术方法。 网上有很多讲解如何利用这个漏洞进行攻击,百度Thinkphp 5.0.24反序化漏洞会出来一堆。 但是如何修复这个漏洞没有讲解,我去Thinkphp 官网上也没有查到,我的建议一个是升级Thinkphp版本。 下面是我的修复方案: 第1种方案:修改removeFiles方法如下: /** * 删除
ThinkPHP5.0.24 Request.php 远程代码执行高危漏洞 修复
qq_40880022的博客
04-10 1601
修改文件 thinkphp/library/think/Request.phpThinkPHP 5.0系列 < 5.0.24ThinkPHP 5.0系列 5.0.24ThinkPHP 5.1系列 5.1.31。
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7646
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
thinkphp v5.0.24 密码爆破_ThinkPHP < 5.0.24 远程代码执行高危漏洞的修复方案
weixin_39646970的博客
11-25 3938
点击蓝字关注我们!每天获取最新的编程小知识!源 /php中文网 源 /www.php.cn本篇文章主要给大家介绍ThinkPHP<5.0.24远程代码执行高危漏洞的修复方案,希望对需要的朋友有所帮助!漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。漏洞评级严重...
[代码审计]ThinkPHP 5.0.x 的代码执行漏洞
姜小孩的博客
06-14 837
目录TP5中的rce都是利用了input方法如何利用此方法如何引导到这来POC:ThinkPHP 5.0-5.0.24通过URL路由分析,我们知道Thinkphp可由外界直接控制模块名、类名和其中的方法名以及参数/参数值,那么我们是不是可以将程序运行的方向引导至这里来。要调用类肯定需要先将类实例化,类的实例化首先需要获取到模块、类名,然后解析模块和类名去组成命名空间,再根据命名空间的特性去自动加载类,然后才会实例化类和调用类中的方法。我们先对比之前正常的URL试着构建下POC。 我们可以找到入口调
Thinkphp5.0 反序列化漏洞复现
feng的博客
03-11 2246
前言 环境创建: composer create-project topthink/think=5.0.14 thinkphp5.0.14 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.14" }, composer update
Thinkphp反序列化漏洞原理
03-10
<think>嗯,我现在要理解ThinkPHP反序列化漏洞原理。首先,我需要回忆一下反序列化漏洞的一般概念。反序列化漏洞通常出现在应用程序将不可信的数据进行反序列化时,攻击者通过构造恶意序列化数据,在反序列化过程中触发代码执行或其他恶意行为。那ThinkPHP的这类漏洞具体是怎么发生的呢? 记得之前学过PHP反序列化,可能涉及到魔术方法,比如__destruct、__wakeup这些,当对象被销毁或者反序列化的时候会自动调用。如果这些方法中有危险的操作,比如调用其他方法或执行系统命令,就可能被利用。 接下来,我应该看看ThinkPHP框架中有哪些类可能包含这样的魔术方法。例如,可能存在某个类在反序列化时会执行文件操作、命令执行或者动态调用方法。攻击者可能构造一个恶意的对象,当这个对象被反序列化时,会自动调用这些魔术方法,进而执行恶意代码。 然后,ThinkPHP的某些版本可能存在链式调用,也就是利用多个类的组合来达到攻击效果。例如,一个类的方法调用另一个类的方法,形成一条调用链,最终执行危险操作。这种称为POP链(Property-Oriented Programming)。 另外,反序列化的入口点也很重要。应用程序可能在处理用户输入的时候,比如接收Cookie、表单数据或者其他输入时,没有进行过滤就直接反序列化数据,导致攻击者可以注入恶意序列化字符串。 例如,如果ThinkPHP在处理某个参数时使用了unserialize()函数,而参数值用户可控,那么攻击者可以构造恶意数据传入,触发反序列化漏洞。 具体到ThinkPHP漏洞案例,比如之前的某个版本,可能存在某个类在反序列化时,__destruct方法中调用了某个文件删除或者写入的方法,或者动态加载了某个模块,导致攻击者可以控制文件路径或命令,从而进行文件上传、远程代码执行等。 比如,假设有一个类A,其__destruct方法中调用了某个文件操作函数,参数是类的一个属性。攻击者构造一个类A的对象,设置该属性为恶意路径,当对象被反序列化后,销毁时触发__destruct,执行了恶意操作。 或者,某个类B的__wakeup方法中使用了call_user_func或类似的动态函数调用,而调用的函数和参数由类属性控制,攻击者可以构造这些属性来执行任意函数。 再比如,利用ThinkPHP中的模型类、缓存类或者日志类,这些类可能在反序列化时进行某些危险操作。例如,缓存类反序列化时可能写入文件,如果文件名和内容可控,就可能写入webshell。 此外,还需要考虑框架中存在的一些可以利用的链,比如使用Pivot类或者其他内置类,通过链式调用达到命令执行的效果。 总结一下,ThinkPHP反序列化漏洞的原理可能包括以下几个步骤: 1. 存在反序列化入口:应用程序某个地方对用户输入的数据进行了反序列化操作,且未进行充分过滤。 2. 存在可利用的类:框架中的某些类定义了危险的魔术方法,或者在方法中有不安全的使用方式。 3. 构造POP链:攻击者通过组合多个类的属性和方法调用,形成一条能够执行恶意操作的链。 4. 触发恶意代码:当恶意序列化数据被反序列化时,自动调用魔术方法,执行攻击者预设的操作,如文件写入、命令执行等。 为了验证是否正确,我需要查阅一些已知的ThinkPHP反序列化漏洞案例,看看它们的利用方式是否符合上述思路。比如,ThinkPHP 5.x版本中的反序列化漏洞,可能涉及到的类如Windows、Pivot等,通过链式调用最终执行任意代码。 例如,某个漏洞利用链可能开始于某个类的__destruct方法,该方法调用了一个文件处理方法,接着另一个类的方法可能通过参数注入导致命令执行。攻击者需要精心构造这些类的属性,使得在反序列化过程中,这些方法被依次调用,并传递恶意参数。 另外,框架中如果使用了可以操作外部资源的类,比如数据库连接、缓存处理等,也可能成为攻击目标。比如,数据库连接类在反序列化时可能根据属性值连接指定的数据库,如果该属性被控制,可能导致SSRF或其他攻击。 总之,理解ThinkPHP反序列化漏洞需要结合PHP反序列化的基本机制,分析框架中特定类的实现,找到可利用的魔术方法和POP链,以及应用程序中处理用户输入的反序列化入口点。通过这些环节的组合,攻击者能够实现远程代码执行等攻击效果。</think>ThinkPHP反序列化漏洞原理分析如下: --- ### 一、核心概念 1. **反序列化漏洞** 当应用程序将用户可控的序列化数据还原为对象时,若未充分验证数据安全性,攻击者可构造恶意数据触发代码执行。 2. **PHP反序列化机制** PHP的`unserialize()`函数将字符串还原为对象,并自动调用魔术方法(如`__destruct`, `__wakeup`),这些方法若包含危险操作则可能被利用。 --- ### 二、漏洞触发条件 1. **存在反序列化入口** 应用程序直接反序列化用户输入(如Cookie、参数等),例如: ```php $data = unserialize($_GET['data']); // 用户可控的输入 ``` 2. **存在可利用的类** ThinkPHP框架中存在包含危险魔术方法或方法的类,例如: - `__destruct()`:对象销毁时自动调用。 - `__wakeup()`:反序列化时自动调用。 - 动态方法调用(如`call_user_func`)或文件操作函数。 --- ### 三、典型漏洞链(POP链)示例 以下以ThinkPHP 5.x反序列化漏洞为例说明攻击链: #### 1. **入口类:触发魔术方法** 假设存在类`A`,其`__destruct()`方法调用某个文件操作: ```php class A { public $file; public function __destruct() { file_put_contents($this->file, 'data'); // 危险操作! } } ``` 攻击者可控制`$file`属性写入Webshell。 #### 2. **链式调用:组合多个类** 利用框架内部类构造链式调用: - **类B**:通过`__toString()`方法触发其他方法。 - **类C**:通过动态方法调用执行系统命令。 ```php class C { public $cmd; public function exec() { system($this->cmd); // 执行任意命令 } } ``` #### 3. **完整攻击链** 攻击者构造序列化数据: - 创建类`A`对象,设置`$file`为Webshell路径。 - 通过属性注入链接类`B`和`C`,最终触发命令执行。 --- ### 四、漏洞利用步骤 1. **定位反序列化入口** 找到接收用户输入并调用`unserialize()`的位置(如缓存、Session处理)。 2. **分析框架类** 寻找包含魔术方法或危险操作的类,例如: - `think\Cache`:缓存操作可能涉及文件写入。 - `think\process\pipes\Windows`:管道处理可能执行命令。 3. **构造POP链** 组合多个类的属性和方法,形成从反序列化到代码执行的完整调用链。 4. **生成Payload** 序列化恶意对象并发送给目标,触发漏洞。 --- ### 五、防御措施 1. **避免反序列化用户输入** 使用JSON等安全格式替代序列化数据。 2. **限制魔术方法** 避免在`__destruct`、`__wakeup`中执行敏感操作。 3. **更新框架版本** 及时修复已知漏洞(如ThinkPHP 5.0.24+修复了部分反序列化问题)。 4. **输入过滤** 若必须反序列化,需严格校验数据来源和内容。 --- ### 六、案例分析 **漏洞编号**:CVE-XXXX-XXXX(示例) **影响版本**:ThinkPHP 5.x **利用链**: 1. 通过`think\process\pipes\Windows`类的`__destruct`方法触发文件删除。 2. 结合`think\model\Pivot`类的`__toString`方法动态调用危险函数。 --- ### 总结 ThinkPHP反序列化漏洞本质是框架内部类在反序列化时触发危险操作,攻击者通过构造恶意对象链实现代码执行。防御需结合安全编码和框架升级。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值