thinkphp诸多限制条件下如何getshell详解

前言

先说说2020_n1CTF的web题Easy_tp5复现问题。

这个题在保留thinkphp的RCE点的同时,并且RCE中ban掉许多危险函数,只能允许单参数的函数执行。对于现在在网络中流传的文件包含的点也增加了限制。

smile yyds!

先说一下这个题限制条件:

  • thinkphp版本:5.0.0
  • php版本:7
  • 对于包含文件增加了限制

ban掉所有的单参数危险函数

设置open_basedir为web目录

设置仅在public目录下可写

在TP5.0.0的中,目前公布的只是存在利用Request类其中变量被覆盖导致RCE。如果ban掉单参数可利用函数那么只能用文件包含,但是文件包含做了限制不能包含log文件,所以只能从别的方面入手。

这些限制都太大了,所以需要想办法去上传一个shell来完成后续绕disable_function。

首先TP5.0.0目前只存在通过覆盖Request中的某些变量导致RCE,其余细节不再赘述,我们看看大概代码执行点在哪里。

call_user_func是代码执行点,我们基本上所有PHP自带的可利用函数基本被ban掉,所以我们需要从自写的函数调用来入手,首先我们需要看下这个点。可回调函数不仅仅指的是简单函数,还可以是一些对象的方法,包括静态方法。

方法一 thinkphp\library\think\Build::module

我们可以这样通过调用这个类的静态方法module,来实现写文件的操作。

我们先看看这个该怎么走,我们看到这个mkdir是在application创建目录,但是由于权限问题肯定无法创建。根据TP报错即退出的机制从而中断执行。那么我们可以通过../public/test来创建目录。

我们会进入到buildhello函数中。

走完流程发现我们可以在public创建了一个test模块,同样看到test/controller/Index.php中我们所写的../public/test保存了下来那么我们就绕过,但是执行完之后会发现一些语法错误导致代码不能执行。

由于这部分内容可控那我们就把他变得符合语法执行,我们可以这么做test;eval($_POST[a]);#/../../public/test;,这样就符合语法。

但是还有一个问题需要解决,就是我们这样的payload会设置一个不存在目录从而可以符合语法并且加入eval函数。但是现在还存在一个跨越不存在目录的问题。

linux环境

win环境

在Linux中不能创建不存在的目录,但是在win下就可以。但是报错是warning,并不会中断执行,并且在bindhello函数中我们会看到:

其中mkdir函数存在recursive参数为true,允许递归创建多级嵌套的目录。这样就可以使mkdir中使用不存在的目录就可以进行绕过。但是现在有个问题:前面的mkdir中的warning报错被TP捕获到直接会退出无法执行后面的内容,那么我们就需要使用一些办法进行抑制报错。我们经常做题会用到一个函数error_reporting,我们可以使用error_reporting(0)抑制报错。

我们再回到代码执行点,我们发现call_user_func函数执行完的值会执行循环再次回到call_user_func()中当回调函数的参数进行使用。因此需要考虑一下怎么调整才能让我们执行并且抑制报错。

1.如果我们将error_reporting放在前面执行,无论参数是什么都会返回0从而导致后面执行代码不可控。

2.如果我们将think\Build::module放前面,那么thinkphp报错也不能执行成功。

但是如果我们放入一个中间值,在第一次执行能够成功创建目录,并且error_reporting还能成功执行,这时候就需要用到PHP弱类型比较,PHP中 0 == null,0 == 非数字开头的字符串。

payload如下可示:

方法二 使用注释符绕过语法产生的错误

payload如下:

这样就会使用注释符注释掉后面的语法错误,然后使用?>包裹住,后面跟上自己用的payload即可。但是这样会产生一个问题,无法在win环境下使用,win下文件夹中不能带这些字符/ \ : * ? " < > |

方法三 文件包含&php伪协议

这种操作就是,我们通过之前的think\Build::module写文件进去,写入的内容是我们rot13编码过的。然后通过think\__include_file调用我们写入文件的内容,因为这个过滤不够完全,可以让我们包含我们所写的内容。

方法四 覆盖日志路径写入

因为题目将error_log函数ban掉了,所以这个非预期解是在不ban掉error_log函数的情况下所实现的。

payload具体如下:

1.通过json_decode使得我们传入的{"type":"File", "path":"/var/www/html/null/public/logs"}转换成内置类stdClass的一个对象。

2.再通过get_object_vars将其转换成数组传入到think\Log::init中。

3.在其中会new了一个\think\log\driver\File,并且传入的参数是我们的'path'=>/var/www/html/null/public/logs,那么会触发类中的__construct,将其默认的path给覆盖掉。

4.最后因为我们触发漏洞点的特殊性,肯定会报错使得报错信息可以被计入到log文件里。

5.之后再通过think\Lang::load包含。

方法五  ::竟然可以调用非静态方法

下面是个简单的例子。

<?php
class A{
 public function test1($a){
  echo "test1".$a;
 }
 static function test2($a){
  echo "test2".$a;
 }
 public function test3($a){
  $this->b = $a;
  echo "test3".$this->b;
 }
}

call_user_func("A::test1","x");
echo "</br>";
call_user_func("A::test2","x");
echo "</br>";
call_user_func("A::test3","x");
echo "</br>";
//$xxx=new A();
//call_user_func(array($xxx,'test3'),"x");

我们看看会怎么执行。

会发现使用::调用了public类的方法并且能够成功执行,但是会报错。并且::仅仅适合在方法中没有写$this的情况,因为$this指代的是这个对象,找不到对象自然会报错。那么我们看一下下面的payload就会一眼明白,payload其实用了跟上面预期解抑制错误的另一种方法,然后抑制报错让TP不会遇错停止执行。

这个题解的payload如下:

1.因为PHP本身的错误处理被thinkphp所替代进行处理,所以上面就是将thinkphp所替代错误进行处理的方法给覆盖掉导致没有办法正常执行。

2.调用self::path方法,可以抛弃掉我们上一个执行的返回值,并且返回我们所输入的path。为什么会返回path,path为什么是我们输入的值,这个就是之前提到的代码执行点他是覆盖了Request类的参数,所以方法返回的是$this->path,这个我们可以控制。

3.之后调用base64_decode,返回值就是我们base64解码的内容。

4.解码后的返回值就会进入\think\view\driver\Php::Display中,然后进入eval执行代码。

总结

到此这篇关于thinkphp诸多限制条件下如何getshell详解的文章就介绍到这了,更多相关tp诸多限制条件下getshell内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • python3编写ThinkPHP命令执行Getshell的方法

    加了三个验证漏洞以及四个getshell方法 # /usr/bin/env python3 # -*- coding: utf-8 -*- # @Author: Morker # @Email: [email]admin@nsf.me[/email] # @Blog: [url]http://nsf.me/[/url] import requests import sys def demo(): print(' _______ _ _ _ _____ _ _ _____ ') print(' |

  • thinkphp诸多限制条件下如何getshell详解

    前言 先说说2020_n1CTF的web题Easy_tp5复现问题. 这个题在保留thinkphp的RCE点的同时,并且RCE中ban掉许多危险函数,只能允许单参数的函数执行.对于现在在网络中流传的文件包含的点也增加了限制. smile yyds! 先说一下这个题限制条件: thinkphp版本:5.0.0 php版本:7 对于包含文件增加了限制 ban掉所有的单参数危险函数 设置open_basedir为web目录 设置仅在public目录下可写 在TP5.0.0的中,目前公布的只是存在利用R

  • Thinkphp事件机制两种实现方式详解

    目录 一.通过监听 二.通过订阅 1.创建订阅类 2.配置监听 3.触发监听 4.处理监听逻辑 4.1 自动绑定 4.2 手动绑定 总结 事件机制的实现有两种途径:通过监听.通过订阅 一.通过监听 1.创建监听类:在命令行模式下进入框架根目录执行 php think make:listener <自定义的类名> 例如: php think make:listener UserListener 执行之后将在<框架根目录>\app\listener\下生成UserListener这个类

  • Linux 下xargs命令详解及xargs与管道的区别

    为什么要用xargs,问题的来源 在工作中经常会接触到xargs命令,特别是在别人写的脚本里面也经常会遇到,但是却很容易与管道搞混淆,本篇会详细讲解到底什么是xargs命令,为什么要用xargs命令以及与管道的区别.为什么要用xargs呢,我们知道,linux命令可以从两个地方读取要处理的内容,一个是通过命令行参数,一个是标准输入.例如cat.grep就是这样的命令,举个例子: echo 'main' | cat test.cpp 这种情况下cat会输出test.cpp的内容,而不是'main'

  • linux 下实现sleep详解及简单实例

    linux 下实现sleep详解及简单实例 sleep: 普通版本 1.基本设计思路: 1>注册SIGALRM信号的处理函数:    2>调用alarm(nsecs)设定闹钟: 3>调⽤pause等待,内核切换到别的进程运行: 4>nsecs秒之后,闹钟超时,内核发SIGALRM给这个进程 ; 5>从内核态返回这个进程的⽤户态之前处理未决信号,发现有SIGALRM信号,其处理函数是sig_alrm; 6> 切换到用户态执行sig_alrm函数,进⼊sig_alrm函数时

  • J2ee 高并发情况下监听器实例详解

    J2ee 高并发情况下监听器实例详解 引言:在高并发下限制最大并发次数,在web.xml中用过滤器设置参数(最大并发数),并设置其他相关参数.详细见代码. 第一步:配置web.xml配置,不懂的地方解释一下:参数50通过参数名maxConcurrent用在filter的实现类中获取,filter-class就是写的实现类, url-pattern就是限制并发时间的url,结束! <filter> <filter-name>ConcurrentCountFilter</filt

  • linux系统下hosts文件详解及配置

    hosts文件 hosts -- the static table lookup for host name(主机名查询静态表). hosts文件是Linux系统上一个负责ip地址与域名快速解析的文件,以ascii格式保存在/etc/目录下.hosts文件包含了ip地址与主机名之间的映射,还包括主机的别名.在没有域名解析服务器的情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的ip地址,否则就需要使用dns服务程序来解决.通过可以将常用的域名和ip地址映射加入到hosts文件中

  • Java 向上转型和向下转型的详解

     Java 向上转型和向下转型的详解 转型是在继承的基础上而言的,继承是面向对象语言中,代码复用的一种机制,通过继承,子类可以复用父类的功能,如果父类不能满足当前子类的需求,则子类可以重写父类中的方法来加以扩展. 向上转型:子类引用的对象转换为父类类型称为向上转型.通俗地说就是是将子类对象转为父类对象.此处父类对象可以是接口 向下转型:父类引用的对象转换为子类类型称为向下转型. 前者是一个向上转型,Animal dog 引用指向new Dog();子类对象当成父类对象,只能调用父类的成员,如果子

  • ThinkPHP Where 条件中常用表达式示例(详解)

    Where 条件表达式格式为: $map['字段名'] = array('表达式', '操作条件'); 其中 $map 是一个普通的数组变量,可以根据自己需求而命名.上述格式中的表达式实际是运算符的意义: ThinkPHP运算符 与 SQL运算符 对照表 TP运算符 SQL运算符 例子 实际查询条件 eq = $map['id'] = array('eq',100); 等效于:$map['id'] = 100; neq != $map['id'] = array('neq',100); id !

  • 基于python中pygame模块的Linux下安装过程(详解)

    一.使用pip安装Python包 大多数较新的Python版本都自带pip,因此首先可检查系统是否已经安装了pip.在Python3中,pip有时被称为pip3. 1.在Linux和OS X系统中检查是否安装了pip 打开一个终端窗口,并执行如下命令: Python2.7中: zhuzhu@zhuzhu-K53SJ:~$ pip --version pip 8.1.1 from /usr/lib/python2.7/dist-packages (python 2.7) Python3.X中: z

  • laravel Task Scheduling(任务调度)在windows下的使用详解

    前言 laravel的任务调度是很好用的,因为Laravel提供了平滑而又富有表现力地调度器,并且服务器上只需要一个Cron条目即可,这使我们从编写手动写crontab中解放出来,使得程序重新获得定时任务的控制权. 但是,我们发现laravel的文档中只提供了linux/unix下的解决方案,但是我们大多数时候本地开发环境都是在windows下搭建的,所以,我们需要解决这些问题. 问题 本篇博客主要是围绕着如下几个问题展开 1. windows下,怎么使用laravel任务调度? 2. wind

随机推荐