写在前面

（1）之前已经审计过了5.1.x的pop链，最后RCE的出口是Request类的__call方法。但是5.0.x和5.1.x在$hook[$method]处的写法不一样，在5.1.x中是$this->$hook[$method],这里对于我们来说是可控的,在5.0.x中的写法是self::$hook[$method]这里是const类型的，所以是不可控的。所以我们不能使用Rquest类作为一个出口了，要找其他的__call。

（2）在5.0.x没有含有__toString方法的Conversion类，这里我选择用Model类，这里的操作都是一样的

__toString -> toJson -> toArrary

分析

在toArray方法中，我们要找到可以利用的类似$a->function($b)方法，看到这里的$item[$key] = $value ? $value->getAttr($attr) : null;

这里要求$value和$attr都是可控的，先看$value

控制$value的核心代码就是901，902两行,$relation是$name控制的，也就是由$this-append控制的，这是我们可控的，这也就是说$modelRelation是Model类任意方法的返回值，这里我们选择Model->getError方法，因为它的返回值error是非常简单可控的

再看getRelationData方法

这里的$this->parent就是我们要触发的代替Request类的类也就是$value->getAttr($attr)中的$value，这里要求是Relation类(这里可以通过$this->error来控制这个类)。我们来看Relation类中的ifSelfRelation方法和getModel方法。

isSelfRelation方法简单可控

    public function isSelfRelation()
    {
        return $this->selfRelation;
    }

Model->getModel

    public function getModel()
    {
        return $this->query->getModel();
    }

getModel方法返回的是$this->query的getModel方法，query应该是Query类，

Query->getModel

    public function getModel()
    {
        return $this->model;
    }

这里的model简单可控，而这里的get_class方法要求$modelRelation->getModel()和$this->parent为同类，也就是要求$value->getAttr($attr)中的$value和上面简单可控的model为同类，这样我们就控制了$value->getAttr($attr)中的$value,下面看$attr

$attr由$modelRelation->getBindAttr()控制,这里要求需要有getBindAttr方法，经过全局搜索，存在这个方法的Relation的子类为OnetoOne类，这里的binAttr简单可控，而OnetoOne也是抽象类，进行全局搜索OnetoOne的子类，最后选定这里的Relation子类为HasOne

到这里为止，我们已经能够执行$value->getAttr($attr)了，下面就是选择可用的__call方法，在这里我们选择Output类。

这里执行的是$this->block追溯一下。

所以最终执行的是$this->handler->write方法。

进行全局搜索什么可用的类可以调用write方法,这里我们把$this->handler设置为thinksessiondriverMemcached类。

在查看有没有可用的类可以调用set方法，我们把这里的$this->handler设为thinkcachedrvierFile类

159行的$result = file_put_contents($filename, $data);可以进行文件写入。

$filename由$this -> getCacheKey方法控制。

可以看到$filename可以由$this->options['path']控制，这里简单可控。下面要看的就是$data了，向上追溯，

File->set方法的$value由Output->writeln中的newline参数控制，这里默认为true,所以我们就对$value不可控，也就是对$data即写入的内容不可控,再向下看，有setTagItem方法。

这里又会调用一次set方法，把$name当作$value写入新文件，也就是把$filename当作$data写入新的文件,因为这里的$data默认有exit，我们通过，rot13转换绕过这个东西。所以我们把$option['config']设置为php://filter/write=string.rot13/resource=<?cuc @riny($_TRG[_]);?>最后马的文件名为'<?cuc @riny($_TRG[_]);?>'.md5('tag_'.md5($tag)).'.php'。

执行system('ls')成功

这里可能。。会有个问题就是权限问题无法写入,　改一下payload的文件路径即可,因为getCacheKey方法会mkdir一个755的文件夹。

这是完整的pop链

本文作者：星盟安全团队

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/123676.html