[漏洞复现]thinkphp5代码执行漏洞

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

参考网址:

https://paper.seebug.org/760/

漏洞代码

https://github.com/vulnspy/thinkphp-5.1.29

漏洞概述

程序未对控制器进行过滤,导致攻击者可以通过引入命名空间\符号来调用任意类的任意方法。

漏洞影响版本:
ThinkPHP 5.0.5-5.0.22
ThinkPHP 5.1.0-5.1.30

最好先看上面的参考网址再回来看下面的漏洞利用。因为下面直接分析的exp的数据流走向

漏洞利用

搭建好后,先用exp打一下,看看是否成功。

http://127.0.0.1/tp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

在这里插入图片描述
利用成功后即可分析其原理了。

程序入口点

先主要分析一下我们传入的参数是怎么到程序里的。

public目录下的Index.php是程序的入口文件,文件里调用了App.php中的run方法

在这里插入图片描述

这里的App.php是指thinkphp\libray\think目录下的App.php。

找到run方法,这里其实就是整个程序的入口了。
在这里插入图片描述

在这个文件下的第403行。路由检测,
因为我加了几行注释。实际行数应该在403行附近。

在这里插入图片描述

跟进$dispatch = $this->routeCheck()->init();中的routeCheck函数,在App.php的600行获取应用调度信息。

在这里插入图片描述

继续跟进$path = $this->request->path();的path方法,跳转到Request.php的716行的path方法。
该方法中调用了pathinfo方法
在这里插入图片描述

继续跟进pathinfo方法。同样在request.php的680行,找到了pathinfo方法,。

在这里插入图片描述
$this->config[‘var_pathinfo’]的值就是config目录下的app.php文件中var_pathinfo的值,在这里插入图片描述

那么拼接起来就是$_GET[‘s’]。通过$pathinfo = $_GET[$this->config['var_pathinfo']];将exp中的s参数的值传给了$pathinfo变量。那么此时$pathinfo的值是/index/\think\app/invokefunction

pathinfo方法最后返回的时候,值还是/index/\think\app/invokefunction
在这里插入图片描述

这就成功获取s参数的值。之后function参数的值之后会说。

获取s参数后

获取参数之后,也就是$path = $this->request->path();执行完了

在这里插入图片描述
注意上图603行的是否强制路由模式。config目录下的App.php。默认为false

在这里插入图片描述

之后在606行进入check方法,传入了两个参数。KaTeX parse error: Undefined control sequence: \think at position 22: …我们s参数的值`/index/\̲t̲h̲i̲n̲k̲\app/invokefunc…must上面说过了是false。

在这里插入图片描述
跟进check方法。
在这里插入图片描述
在check方法中,如果$must为true,则会抛出异常。在上面说过了$must是false。默认是fasle。

在这里插入图片描述

函数最后实例化UrlDispatch对象。UrlDispatch继承了Dispathch。

在这里插入图片描述
跟进之后就到了Dispathch的构造函数。$dispatch是可控的。

在这里插入图片描述

构造函数执行完,接着返回到App.php的403换行,此时routecheck函数的返回值就是一个urldispatch对象。接着又调用了init方法。

在这里插入图片描述

跟进init方法。此时$this->dispatch的值为index|\think\app|invokefunction(之前做过字符串替换)。也就是模块|控制器|操作。那么此时模块:index,控制器:think\app,操作:invokefunction。

跟进parseUrl。

在这里插入图片描述
在parseurl中调用了parseUrlPath方法,此时$url的值index|\think\app|invokefunction

在这里插入图片描述

这个parseUrlPath方法可以跟进去看看。
在这里插入图片描述

这个方法主要是分开index|\think\app|invokefunction为一个数组。放到$path变量中,此时$path的值如下图。很明显了。0就是模块,1是控制器,2是操作。
在这里插入图片描述
之后返回$path和$var。$var为空。
在这里插入图片描述

返回之后,又回到了parseurl函数,然后再执行到返回。回到了Init函数。

在这里插入图片描述
此时$result的值如下图
在这里插入图片描述

此时执行到了return (new Module($this->request, $this->rule, $result))->init();。开始new一个Model对象调用Init方法。

这才是重点

在Init方法中的70行,获取控制器名字。

这是一个关键点,这里没有做过滤。漏洞就出现在这个地方。没有对控制器做过滤导致可以执行任意类的任意方法。
在这里插入图片描述

init方法执行完之后,会返回当前对象
在这里插入图片描述

此时,返回到了App.php。终于把$dispatch = $this->routeCheck()->init();执行完毕了。

在App.php的436行调用了dispatch方法,
在这里插入图片描述

跟进。

在这里插入图片描述

一直跟进,。会在dispatch.php中的168行调用exec方法。

在这里插入图片描述

又是一个重点

进入该方法。该方法里实例化控制器

在这里插入图片描述

进入contrloller方法,$name就是控制器名think\app

在这里插入图片描述
跟进parseModuleAndClass方法。又是一个重点方法。

如下图。该方法判断KaTeX parse error: Can't use function '\`' in math mode at position 9: name是否有`\̲`̲。如果有的话。直接将值赋给class,然后返回。众所周知,$name的值是\think\app,有\,所以直接返回。
在这里插入图片描述
返回之后回到controller方法。

判断$class类是否存在,此时$class的值是\think\app。这个类是存在的。就是App.php。
在这里插入图片描述

如果存在,则return $this->__get($class)。这应该就是具体的实例化操作了。里面用了反射。虽然我不是很懂。
之后一直返回,回到了model.php。此时$instace已经实例化完毕了。

在这里插入图片描述

到了105行,105行之后就是在获取操作名invokefunction。并且在112行new了一个反射方法对象。

在这里插入图片描述

此时$reflect的值如下图。可以发现原来我们的think\app变成了think\Container

这是由于app继承了Contatiner。invokefunciton方法是属于Containter的。
在这里插入图片描述
118行之后,会获取function参数值和vars参数值。
在这里插入图片描述
在136行执行了方法。
在这里插入图片描述
此时参数值如下图。$instance一直是很多实例的数组。

在这里插入图片描述
在这里插入图片描述

进入这个invokeReflectMethod方法。。绑定参数,

在这里插入图片描述

再进入invokArgs方法。

直接跳转到invokeFunction方法内部。这个invokdefunction方法对应着exphttp://127.0.0.1/tp/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1中的invokdefunction。exp中的function参数值就是方法中的第一个参数值。vars参数是放到第二个参数值。

在这里插入图片描述

然后调用了call_user_func_array。此时参数值如下图
在这里插入图片描述

实际就是执行了

call_user_func_array('call_user_func_array',['phpinfo',['1']]);

执行后就是一直的返回,然后输出结果到页面。

如有不正确的地方请指出

  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bog0n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值