ThinkPHP5 源码剖析(批量getShell原理)

前言:

了解TP5批量getshell原理

正文:

首先,网上查看了下漏洞形成的原理。

简单概括:

就是在TP5在处理URL路由信息的时候,如果没有开启强制路由的话,遇到 “\” 反斜杠开头的就认为是包含命名空间的类名,未进行任何过滤,就直接实例化了控制器。

环境配置:

首先就是先下载TP5源码 + 装上调试神器Xdebug + PHPStrom(这里吐槽一句,就是弄这个破调试环境!昨天浪费了我一下午!又踩了一遍新坑!)

环境配置就不说了,网上教程一大堆,注意点那些坑就好了。

影响范围: 版本 <= 5.0.23

源码分析:

首先,从入口文件下断点开始追
ThinkPHP5 源码剖析(批量getShell原理)_第1张图片
ThinkPHP5 源码剖析(批量getShell原理)_第2张图片
主要初始化方法:
ThinkPHP5 源码剖析(批量getShell原理)_第3张图片
ThinkPHP5 源码剖析(批量getShell原理)_第4张图片
ThinkPHP5 源码剖析(批量getShell原理)_第5张图片
ThinkPHP5 源码剖析(批量getShell原理)_第6张图片
ThinkPHP5 源码剖析(批量getShell原理)_第7张图片
ThinkPHP5 源码剖析(批量getShell原理)_第8张图片
ThinkPHP5 源码剖析(批量getShell原理)_第9张图片
ThinkPHP5 源码剖析(批量getShell原理)_第10张图片
ThinkPHP5 源码剖析(批量getShell原理)_第11张图片
ThinkPHP5 源码剖析(批量getShell原理)_第12张图片
ThinkPHP5 源码剖析(批量getShell原理)_第13张图片
ThinkPHP5 源码剖析(批量getShell原理)_第14张图片
ThinkPHP5 源码剖析(批量getShell原理)_第15张图片
ThinkPHP5 源码剖析(批量getShell原理)_第16张图片
ThinkPHP5 源码剖析(批量getShell原理)_第17张图片
ThinkPHP5 源码剖析(批量getShell原理)_第18张图片
ThinkPHP5 源码剖析(批量getShell原理)_第19张图片
ThinkPHP5 源码剖析(批量getShell原理)_第20张图片
ThinkPHP5 源码剖析(批量getShell原理)_第21张图片
ThinkPHP5 源码剖析(批量getShell原理)_第22张图片
ThinkPHP5 源码剖析(批量getShell原理)_第23张图片
ThinkPHP5 源码剖析(批量getShell原理)_第24张图片
ThinkPHP5 源码剖析(批量getShell原理)_第25张图片
ThinkPHP5 源码剖析(批量getShell原理)_第26张图片
ThinkPHP5 源码剖析(批量getShell原理)_第27张图片
ThinkPHP5 源码剖析(批量getShell原理)_第28张图片
ThinkPHP5 源码剖析(批量getShell原理)_第29张图片
ThinkPHP5 源码剖析(批量getShell原理)_第30张图片

漏洞总结:

追完源码后,个人感觉这次漏洞主要爆发的有四个地方:

  1. Route.php下: parseUrlPath()函数解析Url地址的时候;
    ThinkPHP5 源码剖析(批量getShell原理)_第31张图片
  2. Router.php 下: parseUrl()函数解析控制器的时候;
    ThinkPHP5 源码剖析(批量getShell原理)_第32张图片

3.Loader.php 下的:getModuleAndClass()函数解析类名并赋值$class类名变量时
ThinkPHP5 源码剖析(批量getShell原理)_第33张图片
4.App.php 下的:invokeClass() 函数实例化类名时;
ThinkPHP5 源码剖析(批量getShell原理)_第34张图片

个人认为这四步中只要有其中一步可以对url中的参数进行过滤处理一下就可以避免这个漏洞。

换位思考: 如果是我的话,我可能会直接在第一步的URL地址上获取的时候进行过滤,但是,这有可能会影响到其他正常流程的类进行实例化。第二、三步也是如此,都有可能会影响到正常流程的类的实例化。 所以,在最后一步实例化类之前,还有一步获取控制器的名称(在上面追代码的流程中,不在我说得这四步里)在这一步过滤可能是目前看起来的最优解了。 而TP官方也正是这么处理的。(说明自己思考问题的时候还是不够全面,特别是改代码的时候“尤其” 并且 “额外”的需要注意改动是否会影响现有正常逻辑流程。业务开发过程中也是,因为踩过这种改代码不细心的坑啦!!你可不能再踩了!)

修复方法:

在获取控制器名的操作下,加入如下代码:

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
	throw new HttpException(404, 'controller not exists:' . $controller);
}

你可能感兴趣的:(PHP,学习)