前言
先說說2020_n1CTF的web題Easy_tp5復(fù)現(xiàn)問題���。
這個(gè)題在保留thinkphp的RCE點(diǎn)的同時(shí)���,并且RCE中ban掉許多危險(xiǎn)函數(shù),只能允許單參數(shù)的函數(shù)執(zhí)行��。對(duì)于現(xiàn)在在網(wǎng)絡(luò)中流傳的文件包含的點(diǎn)也增加了限制。
smile yyds!
先說一下這個(gè)題限制條件:
- thinkphp版本:5.0.0
- php版本:7
- 對(duì)于包含文件增加了限制
ban掉所有的單參數(shù)危險(xiǎn)函數(shù)
設(shè)置open_basedir為web目錄
設(shè)置僅在public目錄下可寫
在TP5.0.0的中��,目前公布的只是存在利用Request類其中變量被覆蓋導(dǎo)致RCE。如果ban掉單參數(shù)可利用函數(shù)那么只能用文件包含�����,但是文件包含做了限制不能包含log文件��,所以只能從別的方面入手。
這些限制都太大了�����,所以需要想辦法去上傳一個(gè)shell來完成后續(xù)繞disable_function���。
首先TP5.0.0目前只存在通過覆蓋Request中的某些變量導(dǎo)致RCE,其余細(xì)節(jié)不再贅述��,我們看看大概代碼執(zhí)行點(diǎn)在哪里����。
call_user_func是代碼執(zhí)行點(diǎn)�,我們基本上所有PHP自帶的可利用函數(shù)基本被ban掉�,所以我們需要從自寫的函數(shù)調(diào)用來入手�����,首先我們需要看下這個(gè)點(diǎn)?�?苫卣{(diào)函數(shù)不僅僅指的是簡(jiǎn)單函數(shù)���,還可以是一些對(duì)象的方法,包括靜態(tài)方法�。
方法一 thinkphp\library\think\Build::module
我們可以這樣通過調(diào)用這個(gè)類的靜態(tài)方法module�,來實(shí)現(xiàn)寫文件的操作��。
我們先看看這個(gè)該怎么走����,我們看到這個(gè)mkdir是在application創(chuàng)建目錄�,但是由于權(quán)限問題肯定無法創(chuàng)建。根據(jù)TP報(bào)錯(cuò)即退出的機(jī)制從而中斷執(zhí)行�。那么我們可以通過../public/test來創(chuàng)建目錄�。
我們會(huì)進(jìn)入到buildhello函數(shù)中����。
走完流程發(fā)現(xiàn)我們可以在public創(chuàng)建了一個(gè)test模塊��,同樣看到test/controller/Index.php中我們所寫的../public/test保存了下來那么我們就繞過��,但是執(zhí)行完之后會(huì)發(fā)現(xiàn)一些語法錯(cuò)誤導(dǎo)致代碼不能執(zhí)行�����。
由于這部分內(nèi)容可控那我們就把他變得符合語法執(zhí)行,我們可以這么做test;eval($_POST[a]);#/../../public/test;�����,這樣就符合語法���。
但是還有一個(gè)問題需要解決�����,就是我們這樣的payload會(huì)設(shè)置一個(gè)不存在目錄從而可以符合語法并且加入eval函數(shù)�。但是現(xiàn)在還存在一個(gè)跨越不存在目錄的問題���。
linux環(huán)境
win環(huán)境
在Linux中不能創(chuàng)建不存在的目錄,但是在win下就可以��。但是報(bào)錯(cuò)是warning����,并不會(huì)中斷執(zhí)行��,并且在bindhello函數(shù)中我們會(huì)看到:
其中mkdir函數(shù)存在recursive參數(shù)為true,允許遞歸創(chuàng)建多級(jí)嵌套的目錄���。這樣就可以使mkdir中使用不存在的目錄就可以進(jìn)行繞過。但是現(xiàn)在有個(gè)問題:前面的mkdir中的warning報(bào)錯(cuò)被TP捕獲到直接會(huì)退出無法執(zhí)行后面的內(nèi)容�����,那么我們就需要使用一些辦法進(jìn)行抑制報(bào)錯(cuò)���。我們經(jīng)常做題會(huì)用到一個(gè)函數(shù)error_reporting���,我們可以使用error_reporting(0)抑制報(bào)錯(cuò)。
我們?cè)倩氐酱a執(zhí)行點(diǎn),我們發(fā)現(xiàn)call_user_func函數(shù)執(zhí)行完的值會(huì)執(zhí)行循環(huán)再次回到call_user_func()中當(dāng)回調(diào)函數(shù)的參數(shù)進(jìn)行使用���。因此需要考慮一下怎么調(diào)整才能讓我們執(zhí)行并且抑制報(bào)錯(cuò)�����。
1.如果我們將error_reporting放在前面執(zhí)行�,無論參數(shù)是什么都會(huì)返回0從而導(dǎo)致后面執(zhí)行代碼不可控�。
2.如果我們將think\Build::module放前面��,那么thinkphp報(bào)錯(cuò)也不能執(zhí)行成功���。
但是如果我們放入一個(gè)中間值�����,在第一次執(zhí)行能夠成功創(chuàng)建目錄����,并且error_reporting還能成功執(zhí)行�,這時(shí)候就需要用到PHP弱類型比較,PHP中 0 == null�����,0 == 非數(shù)字開頭的字符串���。
payload如下可示:
方法二 使用注釋符繞過語法產(chǎn)生的錯(cuò)誤
payload如下:
這樣就會(huì)使用注釋符注釋掉后面的語法錯(cuò)誤�����,然后使用?>包裹住,后面跟上自己用的payload即可�。但是這樣會(huì)產(chǎn)生一個(gè)問題�,無法在win環(huán)境下使用�,win下文件夾中不能帶這些字符/ \ : * ? " > |
方法三 文件包含php偽協(xié)議
這種操作就是����,我們通過之前的think\Build::module寫文件進(jìn)去,寫入的內(nèi)容是我們r(jià)ot13編碼過的�。然后通過think\__include_file調(diào)用我們寫入文件的內(nèi)容����,因?yàn)檫@個(gè)過濾不夠完全����,可以讓我們包含我們所寫的內(nèi)容�����。
方法四 覆蓋日志路徑寫入
因?yàn)轭}目將error_log函數(shù)ban掉了��,所以這個(gè)非預(yù)期解是在不ban掉error_log函數(shù)的情況下所實(shí)現(xiàn)的。
payload具體如下:
1.通過json_decode使得我們傳入的{"type":"File", "path":"/var/www/html/null/public/logs"}轉(zhuǎn)換成內(nèi)置類stdClass的一個(gè)對(duì)象��。
2.再通過get_object_vars將其轉(zhuǎn)換成數(shù)組傳入到think\Log::init中���。
3.在其中會(huì)new了一個(gè)\think\log\driver\File����,并且傳入的參數(shù)是我們的'path'=>/var/www/html/null/public/logs��,那么會(huì)觸發(fā)類中的__construct�����,將其默認(rèn)的path給覆蓋掉���。
4.最后因?yàn)槲覀冇|發(fā)漏洞點(diǎn)的特殊性,肯定會(huì)報(bào)錯(cuò)使得報(bào)錯(cuò)信息可以被計(jì)入到log文件里����。
5.之后再通過think\Lang::load包含。
方法五 ::竟然可以調(diào)用非靜態(tài)方法
下面是個(gè)簡(jiǎn)單的例子��。
?php
class A{
public function test1($a){
echo "test1".$a;
}
static function test2($a){
echo "test2".$a;
}
public function test3($a){
$this->b = $a;
echo "test3".$this->b;
}
}
call_user_func("A::test1","x");
echo "/br>";
call_user_func("A::test2","x");
echo "/br>";
call_user_func("A::test3","x");
echo "/br>";
//$xxx=new A();
//call_user_func(array($xxx,'test3'),"x");
我們看看會(huì)怎么執(zhí)行�。
會(huì)發(fā)現(xiàn)使用::調(diào)用了public類的方法并且能夠成功執(zhí)行�����,但是會(huì)報(bào)錯(cuò)���。并且::僅僅適合在方法中沒有寫$this的情況�����,因?yàn)?this指代的是這個(gè)對(duì)象��,找不到對(duì)象自然會(huì)報(bào)錯(cuò)���。那么我們看一下下面的payload就會(huì)一眼明白���,payload其實(shí)用了跟上面預(yù)期解抑制錯(cuò)誤的另一種方法��,然后抑制報(bào)錯(cuò)讓TP不會(huì)遇錯(cuò)停止執(zhí)行。
這個(gè)題解的payload如下:
1.因?yàn)镻HP本身的錯(cuò)誤處理被thinkphp所替代進(jìn)行處理���,所以上面就是將thinkphp所替代錯(cuò)誤進(jìn)行處理的方法給覆蓋掉導(dǎo)致沒有辦法正常執(zhí)行�。
2.調(diào)用self::path方法,可以拋棄掉我們上一個(gè)執(zhí)行的返回值����,并且返回我們所輸入的path。為什么會(huì)返回path�,path為什么是我們輸入的值�����,這個(gè)就是之前提到的代碼執(zhí)行點(diǎn)他是覆蓋了Request類的參數(shù)���,所以方法返回的是$this->path���,這個(gè)我們可以控制。
3.之后調(diào)用base64_decode�����,返回值就是我們base64解碼的內(nèi)容���。
4.解碼后的返回值就會(huì)進(jìn)入\think\view\driver\Php::Display中�,然后進(jìn)入eval執(zhí)行代碼�����。
總結(jié)
到此這篇關(guān)于thinkphp諸多限制條件下如何getshell詳解的文章就介紹到這了,更多相關(guān)tp諸多限制條件下getshell內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家����!
您可能感興趣的文章:- ThinkPHP框架實(shí)現(xiàn)定時(shí)執(zhí)行任務(wù)的兩種方法分析
- thinkphp5redis緩存新增方法實(shí)例講解
- ThinkPHP菜單無極分類實(shí)例講解
- Thinkphp自定義美化success和error提示跳轉(zhuǎn)頁面代碼實(shí)例
- ThinkPHP的標(biāo)簽制作實(shí)例講解
- thinkphp的鉤子的兩種配置和兩種調(diào)用方法
- phpstudy的安裝及ThinkPHP框架的搭建圖文講解
- ThinkPHP6.0 重寫URL去掉Index.php的解決方法
- ThinkPHP6通過Ucenter實(shí)現(xiàn)注冊(cè)登錄的示例代碼
- Thinkphp5+Redis實(shí)現(xiàn)商品秒殺代碼實(shí)例講解
- ThinkPHP6.0如何利用自定義驗(yàn)證規(guī)則規(guī)范的實(shí)現(xiàn)登陸
- 如何在thinkphp中使用windows計(jì)劃任務(wù)定時(shí)執(zhí)行php文件
