『代码审计』ThinkPHP8.0的反序列化分析

文章预览

CHENJI 点击蓝字 关注我们 日期：2024年09月11日 作者：Obsidian 介绍：ThinkPHP8的反序列化分析。 0x01 前期准备 ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级 PHP 开发框架。 ThinkPHP8.0 基于 PHP8.0 对 6.1 版本进行了重构和优化，并更加规范化，在 2023 年 06 年 30 日发布。学习它的反序列化漏洞，需要对 PHP 基础、反序列化基础、类与对象以及命名空间的概念有所了解。 参考资料： https://www.php.net/manual/zh/langref.php https://www.php.net/manual/zh/language.oop5.php https://www.php.net/manual/zh/language.namespaces.php 在了解完基础概念之后，需要进行测试环境搭建。 安装 ThinkPHP8.0 可使用 composer 一步到位，在任意目录下，例如 /root/ ，执行以下命令： #安装php8.0及所需依赖 apt install software-properties-common add -apt-repository ppa:ondrej/php apt intall php zip unzip php-zip #安装composer curl -sS ht ………………………………