前言
先說(shuō)說(shuō)2020_n1CTF的web題Easy_tp5復(fù)現(xiàn)問(wèn)題。
這個(gè)題在保留thinkphp的RCE點(diǎn)的同時(shí)��,并且RCE中ban掉許多危險(xiǎn)函數(shù)���,只能允許單參數(shù)的函數(shù)執(zhí)行��。對(duì)于現(xiàn)在在網(wǎng)絡(luò)中流傳的文件包含的點(diǎn)也增加了限制。
smile yyds!
先說(shuō)一下這個(gè)題限制條件:
- thinkphp版本:5.0.0
- php版本:7
- 對(duì)于包含文件增加了限制
ban掉所有的單參數(shù)危險(xiǎn)函數(shù)
設(shè)置open_basedir為web目錄
設(shè)置僅在public目錄下可寫(xiě)
在TP5.0.0的中����,目前公布的只是存在利用Request類(lèi)其中變量被覆蓋導(dǎo)致RCE��。如果ban掉單參數(shù)可利用函數(shù)那么只能用文件包含����,但是文件包含做了限制不能包含log文件����,所以只能從別的方面入手。
這些限制都太大了�����,所以需要想辦法去上傳一個(gè)shell來(lái)完成后續(xù)繞disable_function�。
首先TP5.0.0目前只存在通過(guò)覆蓋Request中的某些變量導(dǎo)致RCE�,其余細(xì)節(jié)不再贅述��,我們看看大概代碼執(zhí)行點(diǎn)在哪里��。
call_user_func是代碼執(zhí)行點(diǎn),我們基本上所有PHP自帶的可利用函數(shù)基本被ban掉�����,所以我們需要從自寫(xiě)的函數(shù)調(diào)用來(lái)入手��,首先我們需要看下這個(gè)點(diǎn)?���?苫卣{(diào)函數(shù)不僅僅指的是簡(jiǎn)單函數(shù)����,還可以是一些對(duì)象的方法,包括靜態(tài)方法��。
方法一 thinkphp\library\think\Build::module
我們可以這樣通過(guò)調(diào)用這個(gè)類(lèi)的靜態(tài)方法module�����,來(lái)實(shí)現(xiàn)寫(xiě)文件的操作����。
我們先看看這個(gè)該怎么走���,我們看到這個(gè)mkdir是在application創(chuàng)建目錄��,但是由于權(quán)限問(wèn)題肯定無(wú)法創(chuàng)建。根據(jù)TP報(bào)錯(cuò)即退出的機(jī)制從而中斷執(zhí)行�����。那么我們可以通過(guò)../public/test來(lái)創(chuàng)建目錄���。
我們會(huì)進(jìn)入到buildhello函數(shù)中�。
走完流程發(fā)現(xiàn)我們可以在public創(chuàng)建了一個(gè)test模塊�,同樣看到test/controller/Index.php中我們所寫(xiě)的../public/test保存了下來(lái)那么我們就繞過(guò),但是執(zhí)行完之后會(huì)發(fā)現(xiàn)一些語(yǔ)法錯(cuò)誤導(dǎo)致代碼不能執(zhí)行���。
由于這部分內(nèi)容可控那我們就把他變得符合語(yǔ)法執(zhí)行,我們可以這么做test;eval($_POST[a]);#/../../public/test;�,這樣就符合語(yǔ)法�。
但是還有一個(gè)問(wèn)題需要解決���,就是我們這樣的payload會(huì)設(shè)置一個(gè)不存在目錄從而可以符合語(yǔ)法并且加入eval函數(shù)。但是現(xiàn)在還存在一個(gè)跨越不存在目錄的問(wèn)題�����。
linux環(huán)境
win環(huán)境
在Linux中不能創(chuàng)建不存在的目錄��,但是在win下就可以��。但是報(bào)錯(cuò)是warning,并不會(huì)中斷執(zhí)行����,并且在bindhello函數(shù)中我們會(huì)看到:
其中mkdir函數(shù)存在recursive參數(shù)為true���,允許遞歸創(chuàng)建多級(jí)嵌套的目錄。這樣就可以使mkdir中使用不存在的目錄就可以進(jìn)行繞過(guò)�。但是現(xiàn)在有個(gè)問(wèn)題:前面的mkdir中的warning報(bào)錯(cuò)被TP捕獲到直接會(huì)退出無(wú)法執(zhí)行后面的內(nèi)容,那么我們就需要使用一些辦法進(jìn)行抑制報(bào)錯(cuò)���。我們經(jīng)常做題會(huì)用到一個(gè)函數(shù)error_reporting����,我們可以使用error_reporting(0)抑制報(bào)錯(cuò)��。
我們?cè)倩氐酱a執(zhí)行點(diǎn)�����,我們發(fā)現(xiàn)call_user_func函數(shù)執(zhí)行完的值會(huì)執(zhí)行循環(huán)再次回到call_user_func()中當(dāng)回調(diào)函數(shù)的參數(shù)進(jìn)行使用���。因此需要考慮一下怎么調(diào)整才能讓我們執(zhí)行并且抑制報(bào)錯(cuò)���。
1.如果我們將error_reporting放在前面執(zhí)行,無(wú)論參數(shù)是什么都會(huì)返回0從而導(dǎo)致后面執(zhí)行代碼不可控���。
2.如果我們將think\Build::module放前面,那么thinkphp報(bào)錯(cuò)也不能執(zhí)行成功����。
但是如果我們放入一個(gè)中間值,在第一次執(zhí)行能夠成功創(chuàng)建目錄��,并且error_reporting還能成功執(zhí)行,這時(shí)候就需要用到PHP弱類(lèi)型比較�,PHP中 0 == null,0 == 非數(shù)字開(kāi)頭的字符串����。
payload如下可示:
方法二 使用注釋符繞過(guò)語(yǔ)法產(chǎn)生的錯(cuò)誤
payload如下:
這樣就會(huì)使用注釋符注釋掉后面的語(yǔ)法錯(cuò)誤����,然后使用?>包裹住���,后面跟上自己用的payload即可���。但是這樣會(huì)產(chǎn)生一個(gè)問(wèn)題,無(wú)法在win環(huán)境下使用�,win下文件夾中不能帶這些字符/ \ : * ? " > |
方法三 文件包含php偽協(xié)議
這種操作就是,我們通過(guò)之前的think\Build::module寫(xiě)文件進(jìn)去���,寫(xiě)入的內(nèi)容是我們r(jià)ot13編碼過(guò)的��。然后通過(guò)think\__include_file調(diào)用我們寫(xiě)入文件的內(nèi)容��,因?yàn)檫@個(gè)過(guò)濾不夠完全���,可以讓我們包含我們所寫(xiě)的內(nèi)容�。
方法四 覆蓋日志路徑寫(xiě)入
因?yàn)轭}目將error_log函數(shù)ban掉了��,所以這個(gè)非預(yù)期解是在不ban掉error_log函數(shù)的情況下所實(shí)現(xiàn)的�����。
payload具體如下:
1.通過(guò)json_decode使得我們傳入的{"type":"File", "path":"/var/www/html/null/public/logs"}轉(zhuǎn)換成內(nèi)置類(lèi)stdClass的一個(gè)對(duì)象。
2.再通過(guò)get_object_vars將其轉(zhuǎn)換成數(shù)組傳入到think\Log::init中���。
3.在其中會(huì)new了一個(gè)\think\log\driver\File�,并且傳入的參數(shù)是我們的'path'=>/var/www/html/null/public/logs����,那么會(huì)觸發(fā)類(lèi)中的__construct��,將其默認(rèn)的path給覆蓋掉��。
4.最后因?yàn)槲覀冇|發(fā)漏洞點(diǎn)的特殊性��,肯定會(huì)報(bào)錯(cuò)使得報(bào)錯(cuò)信息可以被計(jì)入到log文件里����。
5.之后再通過(guò)think\Lang::load包含��。
方法五 ::竟然可以調(diào)用非靜態(tài)方法
下面是個(gè)簡(jiǎn)單的例子�����。
?php
class A{
public function test1($a){
echo "test1".$a;
}
static function test2($a){
echo "test2".$a;
}
public function test3($a){
$this->b = $a;
echo "test3".$this->b;
}
}
call_user_func("A::test1","x");
echo "/br>";
call_user_func("A::test2","x");
echo "/br>";
call_user_func("A::test3","x");
echo "/br>";
//$xxx=new A();
//call_user_func(array($xxx,'test3'),"x");
我們看看會(huì)怎么執(zhí)行��。
會(huì)發(fā)現(xiàn)使用::調(diào)用了public類(lèi)的方法并且能夠成功執(zhí)行����,但是會(huì)報(bào)錯(cuò)。并且::僅僅適合在方法中沒(méi)有寫(xiě)$this的情況�����,因?yàn)?this指代的是這個(gè)對(duì)象�����,找不到對(duì)象自然會(huì)報(bào)錯(cuò)。那么我們看一下下面的payload就會(huì)一眼明白��,payload其實(shí)用了跟上面預(yù)期解抑制錯(cuò)誤的另一種方法�,然后抑制報(bào)錯(cuò)讓TP不會(huì)遇錯(cuò)停止執(zhí)行�。
這個(gè)題解的payload如下:
1.因?yàn)镻HP本身的錯(cuò)誤處理被thinkphp所替代進(jìn)行處理���,所以上面就是將thinkphp所替代錯(cuò)誤進(jìn)行處理的方法給覆蓋掉導(dǎo)致沒(méi)有辦法正常執(zhí)行。
2.調(diào)用self::path方法���,可以?huà)仐壍粑覀兩弦粋€(gè)執(zhí)行的返回值,并且返回我們所輸入的path��。為什么會(huì)返回path����,path為什么是我們輸入的值�����,這個(gè)就是之前提到的代碼執(zhí)行點(diǎn)他是覆蓋了Request類(lèi)的參數(shù),所以方法返回的是$this->path���,這個(gè)我們可以控制����。
3.之后調(diào)用base64_decode�����,返回值就是我們base64解碼的內(nèi)容。
4.解碼后的返回值就會(huì)進(jìn)入\think\view\driver\Php::Display中�,然后進(jìn)入eval執(zhí)行代碼。
總結(jié)
到此這篇關(guān)于thinkphp諸多限制條件下如何getshell詳解的文章就介紹到這了,更多相關(guān)tp諸多限制條件下getshell內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�����!
您可能感興趣的文章:- ThinkPHP框架實(shí)現(xiàn)定時(shí)執(zhí)行任務(wù)的兩種方法分析
- thinkphp5redis緩存新增方法實(shí)例講解
- ThinkPHP菜單無(wú)極分類(lèi)實(shí)例講解
- Thinkphp自定義美化success和error提示跳轉(zhuǎn)頁(yè)面代碼實(shí)例
- ThinkPHP的標(biāo)簽制作實(shí)例講解
- thinkphp的鉤子的兩種配置和兩種調(diào)用方法
- phpstudy的安裝及ThinkPHP框架的搭建圖文講解
- ThinkPHP6.0 重寫(xiě)URL去掉Index.php的解決方法
- ThinkPHP6通過(guò)Ucenter實(shí)現(xiàn)注冊(cè)登錄的示例代碼
- Thinkphp5+Redis實(shí)現(xiàn)商品秒殺代碼實(shí)例講解
- ThinkPHP6.0如何利用自定義驗(yàn)證規(guī)則規(guī)范的實(shí)現(xiàn)登陸
- 如何在thinkphp中使用windows計(jì)劃任務(wù)定時(shí)執(zhí)行php文件
