php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞

前言

出题好几天没审计代码了,今天趁体育课来审一下ThinkPHP5.1.x代码执行漏洞。

一开始想做一个大总结来着,看了网上的文章已经有总结的很好的了,我就不再搬砖了。

这个文章仅仅是用来锻炼,哪怕是ThinkPHP5.1.x,他们因为版本的不同,debug是否开启导致payload也会不同。而且现在RCE基本不存在了,找找思路就行了。。

0x01

这里随便写写小总结,只是提一下。

先来明确一下

rce有两个大版本的分别

ThinkPHP 5.0-5.0.24

ThinkPHP 5.1.0-5.1.30

继续根据payload细分:

一种是因为Request类的method和__construct方法造成的,另一种是因为Request类在兼容模式下获取的控制器没有进行合法校验:

继续细分:

1:thinkphp5 method任意调用方法导致rce

上个文章就是分析的这个:

$this->method可控导致可以调用__contruct()覆盖Request类的filter字段,然后App::run()执行判断debug来决定是否执行$request->param(),并且还有$dispatch['type'] 等于controller或者 method 时也会执行$request->param(),而$request->param()会进入到input()方法,在这个方法中将被覆盖的filter回调call_user_func(),造成rce。

2:method __contruct导致的rce

思路基本一致,但是细节不同。此外1和2必须开启debug才能RCE。有captcha路由时无需debug=true。

3:未开启强制路由导致rce

版本和DEBUG选项的关系

有时候你会发现即使版本一样依旧无法RCE

5.0.13版本之后需要开启debug才能rce

但是呢

在thinkphp5完整版中官网揉进去了一个验证码的路由,可以通过这个路由触发rce

在上个文章中也已经验证过了

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第1张图片

0x02

今天我们要分析的主题就是未开启强制路由导致rce

环境:

"require": {

"php": ">=5.6.0",

"topthink/framework": "5.1.29"

},

漏洞成因:

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第2张图片

thinkphp默认没有开启强制路由

说明我们可以使用路由兼容模式 s 参数,而框架对控制器名没有进行足够的检测,说明可能可以调用任意的控制器任意方法来执行,

eg: http://site/?s=模块/控制器/方法

访问:

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第3张图片

看payload分析:

首先我们要知道

所有用户参数都会经过 Request 类的 input 方法处理,该方法会调用 filterValue 方法,而 filterValue 方法中使用了 call_user_func。这个在前面文章分析也提过了。

找request方法

跟进到thinkphp/library/think/App.php:402

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第4张图片

跟进

routeCheck()

就在这个页面中。这个方法最后

return $dispatch

通过打断点

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第5张图片

我们看到这个方法把我们的/替换成了|

继续回去看init()

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第6张图片

进入Url.php

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第7张图片

进入parseUrl

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第8张图片

进入

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第9张图片

进入parseUrlPath()

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第10张图片

这里从URL处获取了

[模块/控制器/操作],导致parseUrl()返回的route为

index think\Request input

为什么呢?我们回到parseUrl()找route

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第11张图片

导致thinkphp/library/think/App.php:406的$dispatch为

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第12张图片

直接调用了input()函数,然后会执行到 App 类的 run 方法

这里也显示了

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第13张图片

进而调用 Dispatch 类的 run 方法

该方法会调用关键数 exec thinkphp/library/think/route/dispatch/Module.php:84,进而调用反射类

我们跟进

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第14张图片

在 exec 函数中,程序利用反射机制,调用类的方法。这里的类、方法、参数均是我们可以控制的。而且整个过程,并没有看到程序对控制器名的合法性进行检测,这也是导致 远程代码执行漏洞 的直接原因

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第15张图片

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第16张图片

所有参数可控,我们让他调用input方法

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第17张图片

input方法已经说过很多次了

进入input()之后继续进入$this->filterValue()

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第18张图片

实现rce

漏洞修复

官方的修复方法是:增加正则表达式

// 获取控制器名

$controller = strip_tags($result[1] ?: $config['default_controller']);

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {

throw new HttpException(404, 'controller not exists:' . $controller);

}

最后用七月火师傅的一张图

php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞_第19张图片

A-Za-z ↩︎

标签:控制器,调用,input,漏洞,代码执行,rce,ThinkPHP5.1,方法,路由

来源: https://www.cnblogs.com/wangtanzhi/p/12715255.html

你可能感兴趣的:(php判断版本根据版本调用不同)