ssrf,csrf漏洞复现

印象深刻的csrf利用:

在phpwind下:漏洞点(但是都是在后台的漏洞)

代码追:

task到unserialize,然后重写PwDelayRun的构造函数,给callback和args赋值,然后当程序执行结束,进入垃圾回收时,(进行反序列化)__destruct就会执行,此时会将call和args的恶意代码执行。

找到__destruct的位置:

php 复制代码
class PwDelayRun {
    private static $instance = null;
    private $_callback = array();
    private $_args = array();
    private function __construct() {
    }
    public function __destruct() {
        foreach (this->_callback as key => $value) {
            call_user_func_array(value, this->_args[$key]);
        }
    }
    ...
}

但是在执行时并没有加载PwDelayRun这个类:

进行反序列化的时候,如果发现不存在的类,就会传入注册好的spl_autoload函数中:

可以发现spl_autoload_register函数的调用:(最后会走入一个include)

php 复制代码
include className . '.' . self::_extensions;

命名空间中可以包含\,而在windows下,\也可以作为路径的分隔符。(由此可见,这个漏洞仅限于Windows服务器)整个phpwind全局是没有使用命名空间的,也就是默认命名空间为\,但现在的PwDelayRun类所在的命名空间并不在\下。

所以我们需要生成src\library\utility\PwDelayRun类和\PwDelayRun类两个对象,放在一个数组中,在反序列化前者的过程中include目标文件,在反序列化后者的过程中拿到PwDelayRun对象。

但是在数组传进去的过程中:会被其拦住

php 复制代码
public function beforeAction($handlerAdapter) {
    parent::beforeAction($handlerAdapter);
    var = unserialize(this->getInput('var'));
    if (is_array($var)) {
        this->setOutput(var, 'condition');
    }
}

在php源码层,对象是用数组来模拟的,所以我们只需要用一个对象代替数组即可。

最后加上csrf:

漏洞本身为后台漏洞,但漏洞又有一个特点,那就是其为GET方法,只需要一个URL即可触发。

php 复制代码
[img]http://127.0.0.1/web.php[/img]
相关推荐
4311媒体网2 小时前
帝国CMS安装避坑指南
php
风华圆舞3 小时前
鸿蒙HarmonyOS 多模态输入实战 —— 图片与文档输入智谱/DeepSeek
开发语言·人工智能·华为·php·harmonyos·arkts·arkui
WHS-_-20225 小时前
CL-SEC: Cross-Layer Semantic Error Correction Empowered byLanguage Models
人工智能·语言模型·php
码农学院6 小时前
电子产品企业泉州网络推广如何精准触达目标采购商
开发语言·php
广州灵眸科技有限公司1 天前
瑞芯微RV1126B开发板(EASY-EAI-PI2) 系统操作-线进程操作
数据库·单片机·嵌入式硬件·算法·php
apihz1 天前
全国油价查询免费 API 接口详解与调用实战(PHP / Python)
android·python·php·dubbo·天气预报·油价
tommyjiatong1 天前
解决 WordPress 必须带 index.php 才能访问及无法提交站点地图(Sitemap)的底层原理与方案
php·网站搭建·wordpress
三8441 天前
PHP+MariaDB/MySQL搭建 社区论坛
mysql·php·mariadb
云云只是个程序马喽2 天前
海外短剧平台搭建方案:私有化源码系统选型|云微短剧系统技术架构拆解
java·php
雅客李2 天前
2026云手机高负载压力测评 安卓云手机多开实测数据
android·智能手机·php