1. 前言
最近有點閑下來了,不找點事干比較難受,打算找點漏洞分析一下,于是就打算看看TP的一些漏洞,ThinkPHP6.0.13是TP的最新版,八月份有師傅提交了一個issue指出TP存在反序列化問題,網上也有些師傅分析了一波,不過斷點下的比較多,而且部分方法沒有闡明其用途,所以我也嘗試詳細的分析一波,下面先給出POC
2. 分析
首先看看POC的起始點
發現起始點在Psr6Cache這個類,我們進入這個類,不過沒有發現__destruct或者__wakeup等常見的反序列化起始魔術方法,推測應該在其父類AbstractCache這個抽象類中,跟入AbstractCache類
如圖,成功發現本次反序列化鏈子的起始類,這里我們可以控制autosave這個屬性為false,從而進入save方法,
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
回到Psr6Cache類查看這個方法
可以發現,pool屬性和key屬性我們都可控,因此可能存在兩種路線,呼叫不同類的同名方法(getItem),或者是直接嘗試觸發__call方法,我們來看看POC作者是怎么讓反序列化進行下去的,
作者用構造方法傳入了exp,exp其實就是在實體化Channel類,我們進入Channel類查看
Channel類中有一個__call方法,那么作者是選擇觸發__call來讓鏈子繼續下去,這個call方法接受了兩個引數,method是寫死的(getItem),parameters是可控的(即前面可控的key屬性)
跟入log方法查看,其接受三個傳參(但是其實對后續的鏈子沒啥用),傳入record方法
跟入record方法
再回傳查看作者的POC,發現其控制lazy屬性為false,讓函式進入最后一個if分支執行save方法
那么save方法應該是比較關鍵的方法了,跟入save方法,這里面有三個可能被利用的點,作者選擇了哪一個呢?
根據POC不難發現作者選擇了控制logger屬性,利用建構式對其賦值,令其為Socket類的物件
在這個類中,我們找到了一個復雜的同名方法,其中有大量的操作,
我們繼續來看作者是怎么構造的,作者控制config屬性,給其賦值為陣列,陣列有如下內容
關鍵在于這兩個鍵值,作者控制config,讓程式運行到呼叫invoke方法的分支
同時,app屬性可控,作者令app屬性為App類的物件,我們進入App類
這里先看看App類的的exists方法的情況,在其父類中找到了這個方法
繼續往后,這里對App類進行了唯一一個操作,控制了instances屬性的值,這里控制其值是為了進入Request類,并且執行url方法
作者在這里對Request類做出唯一的操縱,就是控制url屬性的值,可以看出,如果url屬性存在,那么就會進入第一個分支,其值等于本身,
同時又注意到,complete我們之前傳入的是true,因此最侄訓傳的結果就是$this->domain().$url,url我們已經控制了,那么domain方法回傳什么呢?
OK,這點我們就不用看了,分析了這么多,我們得到了$currentUri最后的值,就是:
http://localhost/<?php system(\'calc\'); exit(); ?>
currentUri作為一個陣列被傳入invoke了,根據鏈子的長度,達到invoke,我們的反序列化之旅就快結束了
查看invoke,App類找不到這個方法,在他的父類里找到了這個方法
這里可以看到,這個函式內有三分支走向,那么最侄訓走向哪里呢?根據我們之前$config[‘format_head’]的傳入, 首先我們傳入的這個物件不是Closure的實體或者子類,并且也不滿足第二個分支的條件
因此進入到到第三個分支,我們跟進invokeMethod()方法,這里傳入的$callabel就是[new \think\view\driver\Php,'display']、而$vars就是[‘http://localhost/<?php system(\'calc\'); exit(); ?>’]
注意,我們傳入的$method是陣列,因此進入第一個分支,把new \think\view\driver\Php (即物件)賦值給$class,’display’(即方法名)賦值給新的$method,
然后下面進行了一個判斷,如果$class是物件,那么其值就為它本身,因為我們傳入的是物件,所以這里沒什么變化,然后進入最關鍵的代碼
可以看到,把物件new \think\view\driver\Php 以及方法 display傳入了ReflectionMethod,
在最后,呼叫invokeArgs方法,傳入了new \think\view\driver\Php物件,同時傳入了$args
那么args是什么呢?
我們跟入之后發現是一個處理函式,因為本人比較懶,而且到這都快分析完了,就不去硬讀了,直接給結論,總之我們傳入的 $vars ,也即 [‘http://localhost/<?php system(\'calc\'); exit(); ?>’] 其中的關鍵部分<?php system(\'calc\'); exit(); ?>保留了下來,并且進入到了后續的傳參中
繼續往后看,對于這個函式(invokeArgs),可以簡單的類比call_user_func(),因此最后的關鍵代碼其實只有這兩行
也即
$reflect = new ReflectionMethod(new \think\view\driver\Php,’display’);
return $reflect->invokeArgs(new \think\view\driver\Php,’ <?php system(\'calc\'); exit(); ?>’)
常看tp反序列化的朋友就知道,已經結束咧!畢竟呼叫display方法了,但是上述這個呼叫ReflectionMethod類的操作到底是什么呢?我們可以借助如下實體來演示,所以說這玩意和call_user_func很像
最后是display方法,沒什么好說的了,content傳入display方法中,eval執行命令了
3. 結語
TP的鏈子一如既往的有意思(以及復雜),特別是最后的ReflectionMethod類的用法上,如果不了解這個類以及類中的方法組合可以實作類似call_user_func函式的作用的話,那么就很容易錯過這樣一個精彩的漏洞,
更多靶場實驗練習、網安學習資料,請點擊這里>>
合天智匯:合天網路靶場、網安實戰虛擬環境
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/513019.html
標籤:其他
上一篇:ReactNativeiOSsendEventWithName導致“RCTCallableJSModules未設定”