ThinkPHP 5.0.0~5.0.23 RCE 漏洞分析

未开启Debug

首先进入入口点 App.php 中的 run 方法，实例化了一个 $request 对象传给了 routeCheck 方法。

$method 由 $request->method() 获得， $rules 会根据 $method 的不同而获得不同的路由规则

跟进 $request->method() ，漏洞点在这里，通过外部传入 Config::get('var_method') 可以造成该类的任意方法调用。

在tp的默认中配置中设置了表单请求类型伪装变量如下，POST一个 _method 参数即可进入判断。

而 Request 类的构造方法中， $options 可控，因此我们可以覆盖该类的任意属性。其中 $this->filter 保存着全局过滤规则。

我们请求的路由是 ?s=captcha ，它对应的注册规则为 \think\Route::get 。

因此我们需要让 $this->method 返回值为get，所以payload中有个 method=get ，然后才会取出 self::$rules[$method] 的值给$rules。

路由检测后接着会执行 self::exec ，并进入 method 分支

跟进 Request::instance()->param() ， $this->param 通过 array_merge 将当前请求参数和URL地址中的参数合并。

跟进 $this->input ，该方法用于对请求中的数据即接收到的参数进行过滤，而过滤器通过 $this->getFilter 获得。

$this->filter 为 system ，回到input，因为data为数组，因此可以进入if条件调用 array_walk_recursive($data, [$this, 'filterValue'], $filter) ，对 $data 中的每一个值调用 filterValue 函数。

即间接调用 call_user_func ，且两个参数可控，造成RCE。

回到param方法，跟进method方法，此时参数为True。

这里也有一个 input ，

结合之前的 __construct 覆盖 $filter 属性，同样可以造成RCE。