getshell怎么在thinkphp条件限制实现-创新互联

getshell怎么在thinkphp条件限制实现?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

10多年的淮阳网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整淮阳建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联从事“淮阳网站设计”,“淮阳网站推广”以来,每个客户项目都认真落实执行。

先说说2020_n1CTF的web题Easy_tp5复现问题。

这个题在保留thinkphp的RCE点的同时,并且RCE中ban掉许多危险函数,只能允许单参数的函数执行。对于现在在网络中流传的文件包含的点也增加了限制。

smile yyds!

先说一下这个题限制条件:

  • thinkphp版本:5.0.0
  • php版本:7
  • 对于包含文件增加了限制

getshell怎么在thinkphp条件限制实现

ban掉所有的单参数危险函数

getshell怎么在thinkphp条件限制实现

设置open_basedir为web目录

getshell怎么在thinkphp条件限制实现

设置仅在public目录下可写

getshell怎么在thinkphp条件限制实现

在TP5.0.0的中,目前公布的只是存在利用Request类其中变量被覆盖导致RCE。如果ban掉单参数可利用函数那么只能用文件包含,但是文件包含做了限制不能包含log文件,所以只能从别的方面入手。

这些限制都太大了,所以需要想办法去上传一个shell来完成后续绕disable_function。

首先TP5.0.0目前只存在通过覆盖Request中的某些变量导致RCE,其余细节不再赘述,我们看看大概代码执行点在哪里。

getshell怎么在thinkphp条件限制实现

call_user_func是代码执行点,我们基本上所有PHP自带的可利用函数基本被ban掉,所以我们需要从自写的函数调用来入手,首先我们需要看下这个点。可回调函数不仅仅指的是简单函数,还可以是一些对象的方法,包括静态方法。

getshell怎么在thinkphp条件限制实现

方法一 thinkphp\library\think\Build::module

我们可以这样通过调用这个类的静态方法module,来实现写文件的操作。

getshell怎么在thinkphp条件限制实现

我们先看看这个该怎么走,我们看到这个mkdir是在application创建目录,但是由于权限问题肯定无法创建。根据TP报错即退出的机制从而中断执行。那么我们可以通过../public/test来创建目录。

我们会进入到buildhello函数中。

getshell怎么在thinkphp条件限制实现

走完流程发现我们可以在public创建了一个test模块,同样看到test/controller/Index.php中我们所写的../public/test保存了下来那么我们就绕过,但是执行完之后会发现一些语法错误导致代码不能执行。

getshell怎么在thinkphp条件限制实现

由于这部分内容可控那我们就把他变得符合语法执行,我们可以这么做test;eval($_POST[a]);#/../../public/test;,这样就符合语法。

getshell怎么在thinkphp条件限制实现

但是还有一个问题需要解决,就是我们这样的payload会设置一个不存在目录从而可以符合语法并且加入eval函数。但是现在还存在一个跨越不存在目录的问题。

getshell怎么在thinkphp条件限制实现

linux环境

getshell怎么在thinkphp条件限制实现

win环境

getshell怎么在thinkphp条件限制实现

在Linux中不能创建不存在的目录,但是在win下就可以。但是报错是warning,并不会中断执行,并且在bindhello函数中我们会看到:

getshell怎么在thinkphp条件限制实现

其中mkdir函数存在recursive参数为true,允许递归创建多级嵌套的目录。这样就可以使mkdir中使用不存在的目录就可以进行绕过。但是现在有个问题:前面的mkdir中的warning报错被TP捕获到直接会退出无法执行后面的内容,那么我们就需要使用一些办法进行抑制报错。我们经常做题会用到一个函数error_reporting,我们可以使用error_reporting(0)抑制报错。

我们再回到代码执行点,我们发现call_user_func函数执行完的值会执行循环再次回到call_user_func()中当回调函数的参数进行使用。因此需要考虑一下怎么调整才能让我们执行并且抑制报错。

1.如果我们将error_reporting放在前面执行,无论参数是什么都会返回0从而导致后面执行代码不可控。

2.如果我们将think\Build::module放前面,那么thinkphp报错也不能执行成功。

但是如果我们放入一个中间值,在第一次执行能够成功创建目录,并且error_reporting还能成功执行,这时候就需要用到PHP弱类型比较,PHP中 0 == null,0 == 非数字开头的字符串。

payload如下可示:

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

方法二 使用注释符绕过语法产生的错误

payload如下:

getshell怎么在thinkphp条件限制实现

这样就会使用注释符注释掉后面的语法错误,然后使用?>包裹住,后面跟上自己用的payload即可。但是这样会产生一个问题,无法在win环境下使用,win下文件夹中不能带这些字符/ \ : * ? " < > |

方法三 文件包含&php伪协议

这种操作就是,我们通过之前的think\Build::module写文件进去,写入的内容是我们rot13编码过的。然后通过think\__include_file调用我们写入文件的内容,因为这个过滤不够完全,可以让我们包含我们所写的内容。

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

方法四 覆盖日志路径写入

因为题目将error_log函数ban掉了,所以这个非预期解是在不ban掉error_log函数的情况下所实现的。

payload具体如下:

getshell怎么在thinkphp条件限制实现

1.通过json_decode使得我们传入的{"type":"File", "path":"/var/www/html/null/public/logs"}转换成内置类stdClass的一个对象。

2.再通过get_object_vars将其转换成数组传入到think\Log::init中。

3.在其中会new了一个\think\log\driver\File,并且传入的参数是我们的'path'=>/var/www/html/null/public/logs,那么会触发类中的__construct,将其默认的path给覆盖掉。

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

4.最后因为我们触发漏洞点的特殊性,肯定会报错使得报错信息可以被计入到log文件里。

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

5.之后再通过think\Lang::load包含。

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

getshell怎么在thinkphp条件限制实现

方法五  ::竟然可以调用非静态方法

下面是个简单的例子。

<?php
class A{
 public function test1($a){
  echo "test1".$a;
 }
 static function test2($a){
  echo "test2".$a;
 }
 public function test3($a){
  $this->b = $a;
  echo "test3".$this->b;
 }
}

call_user_func("A::test1","x");
echo "
"; call_user_func("A::test2","x"); echo "
"; call_user_func("A::test3","x"); echo "
"; //$xxx=new A(); //call_user_func(array($xxx,'test3'),"x");

标题名称:getshell怎么在thinkphp条件限制实现-创新互联
文章源于:http://scjbc.cn/article/dsgpsh.html

其他资讯