漏洞概述

反序列化链利用分析 ThinkPHP v3.2.* （SQL注入&文件读取）反序列化POP链

环境搭建

控制器写入

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index(){
    unserialize(base64_decode($_GET[1]));
	}
}

前言

Thinkphp5日志文件包含trick，一种对日志进行文件包含的利用方式

环境

• thinkphp5.0.24 变量覆盖rce修复版本，不在未开启强制路由rce影响版本

• 未开启app_debug

利用条件

• 日志路径
• 包含点

前言

URLDNS链其实就是DNSlog。可以用来判断目标是否出网或者漏洞是否利用成功。感觉就是判断是不是存在反序列化漏洞用的。

前置知识

在反序列化中通过 readObject 来返回一个对象,如果一个类中重写了readObject，里面可能存在潜在危险利用链

例如在Person.java中重写 readObject()

环境准备

Thinkphp 5.1.38

写入反序列化点

前言

具体分析 ThinkPHPv5 RCE改造 | Y0ng的博客 (yongsheng.site)

Thinkphp5 rce分两个大版本

1. ThinkPHP 5.0-5.0.24
2. ThinkPHP 5.1.0-5.1.30

方法主要分为两种

1.Request中的filter变量覆盖导致RCE 分开启debug和不开启debug 两种情况

2.路由控制不严谨导致的RCE

先分析第一种rce 即 method __contruct导致的rce

这里用5.0.5分析

前言

前几天打西湖杯的时候有个ThinkPHP v6.0.9 的题目，无法写文件，找到这篇文章利用eval执行php，所以跟一下，我跟的版本为6.0.9

参考：ThinkPHP v6.0.7 eval反序列化利用链

6.0.12存在利用

利用条件

存在一个反序列点

demo : app/controller/Index.php

<?php
namespace app\controller;

use app\BaseController;

class Index extends BaseController
{
    public function index()
    {
        highlight_file(__FILE__);
		unserialize($_GET['unser']);
    }
}