内容简介:大概看了下,这个洞跟5.0的原理大致相同,都是利用Reuqest类的Method方法覆盖了
大概看了下,这个洞跟5.0的原理大致相同,都是利用Reuqest类的Method方法覆盖了 $this->filter 属性,然后进入 filterValue 调用 call_user_func($filter, $value) , $value 为 当前请求参数和URL地址中的参数合并 ,从而导致RCE。
漏洞验证
测试版本:Thinkphp_5.1.1
补丁:https://github.com/top-think/framework/commit/2454cebcdb6c12b352ac0acd4a4e6b25b31982e6
需要在入口文件处关闭报错。
payload
c=exec&f=calc.exe&&_method=filter&
流程分析
在获取应用调度信息时会调用Request类的method方法获取当前的请求类型
且 $this->config->get('var_method') 外部可控,即 $this->method 我们可控,从而我们可以通过 $this->{$this->method}($_POST) 调用任意方法。
跟进 filter 方法,发现我们post的数据可以覆盖 $this->filter 属性。
回到App类,由于我们开启了 $this->debug 从而可以进入 Request 类的 param 方法。
跟进 param 方法, $this->param 为 当前请求参数和URL地址中的参数合并 。然后进入 input 方法。
input 方法,因为
$data 为上面提到的
$this->param 即数组,从而进入if条件执行
array_walk_recursive($data, [$this, 'filterValue'], $filter);
查阅 array_walk_recursive 函数可知,该函数会调用 $this->filterValue 函数,把 $data 数组的每个值作为其第一个参数,键名作为第二个参数,并且把 $this->filter 作为第三个参数。
继续跟进 filterValue 方法,发现调用了 call_user_func($filter, $value) , $filter 为刚开始我们覆盖的 $this->filter 属性的遍历键值,等于 $_POST 数组。 $value 为 当前请求参数和URL地址中的参数合并 数组 $this->param 的键值。
当遍历到 $this->param 的第二个键值 calc.exe 和 $filters 的第一个键值 exec 时,成功执行命令,弹出了计算器。
补丁分析
与5.0一样,对表单请求类型伪装变量添加了白名单。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Windows内核原理与实现
潘爱民 / 电子工业出版社 / 2010年4月 / 99.00元
本书从操作系统原理的角度,详细解析了Windows如何实现现代操作系统的各个关键部件,包括进程、线程、物理内存和虚拟内存的管理,Windows中的同步和并发性支持,以及Windows的I/O模型。在介绍这些关键部件时,本书直接以Windows的源代码(WRK, Windows Research Kernel)为参照,因而读者可以了解像Windows这样的复杂操作系统是如何在x86处理器上运行的。 ......一起来看看 《Windows内核原理与实现》 这本书的介绍吧!
