ThinkPHP 5.x RCE分析

最新推荐文章于 2024-04-30 00:10:58 发布
最新推荐文章于 2024-04-30 00:10:58 发布
阅读量6k 收藏 5
点赞数 4
分类专栏: 代码审计 文章标签: thinkphp 5.x RCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011377996/article/details/87362329
版权

第一次进行代码量这么大的分析,记录一下,个人感觉新手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。

前言

在分析这个之前还看了两篇tp5的RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源

https://xz.aliyun.com/t/3845

https://xz.aliyun.com/t/3845

我这里已tp 5.0.22为例子,环境是phpstudy搭建的

补丁

影响版本
THINKPHP 5.0.5-5.0.22

THINKPHP 5.1.0-5.1.30

5.0.x补丁地址:https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

kDf8x0.png

5.1.x补丁地址:https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

漏洞分析

补丁中加了正则限制了控制器的自定义初始化

payload:

localhost/tp52/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

根据补丁下的点,动态跟踪一下是否是因为controller没有做好过滤而实体化,确实是如此

kD51Gd.png

根据传进去的payload,控制器以及下面的方法都会发生对应的变化,下面就可以分析一下攻击链的流程

可以从入口文件一级一级跟踪,进入到App.php中,这里应该涉及到一个开发的知识,在App.php中,会根据请求的URL调用routeCheck进行调度解析在App.php中,会根据请求的URL调用routeCheck进行调度解析获得到$dispatch,所以payload是一定要经过那里的,可以在那里加断点进行调试

定位到/thinkphp/library/think/App.php:116

$dispatch = self::$dispatch;

            // 未设置调度信息则进行 URL 路由检测
            if (empty($dispatch)) {
   
                $dispatch = self::routeCheck($request, $config);
            }

            // 记录当前调度信息
            $request->dispatch($dispatch);


......
    $data = self::exec($dispatch, $config);//这个函数很关键

继续跟进routeCheck这个函数,同样在App.php里面

kDo5K1.png

继续跟进到path方法里面,然后这里有一个pathinfo()函数,继续跟进

public function path()
{
   
    if (is_null($this->path)) {
   
        $suffix   = Config::get('url_html_suffix');
        $pathinfo = $this->pathinfo();
        if (false === $suffix) {
   
            // 禁止伪静态访问
            $this->path = $pathinfo;
        } elseif ($suffix) {
   
            // 去除正常的URL后缀
            $this->path = preg_replace('/\.(' . ltrim($suffix, '.') . ')$/i', '', $pathinfo);
        } else {
   
            // 允许任何后缀访问
            $this->path = preg_replace('/\.' . $this->ext() . '$/i', '', $pathinfo);
        }
    }
    return $this->path;
}

Config::get('var_pathinfo')是配置文件中的设置的参数,默认值为s,怎么找到这个变量?可以全局搜索一下,可以搜索到其中一个配置文件里面有

kDThFS.png

从GET中获取键值,然后赋值给routeCheck中的$path,这里也就是index/think\app/invokefunction

kDTvYF.png

然后开始进入路由检测的部分,经过check的检查后会进入else的分支,但这一部分对于我们需要控制的变量没有任何影响,关键是$result以及$must这两个变量的赋值结果,这也是导致了后面操作的关键,可以进入Route::parseUrl函数

public static function routeCheck($request, array $config)
    {
   
        $path   = $request->path();
        $depr   = $config['pathinfo_depr'];
        $result = false;

        // 路由检测
        $check = !is_null(self::$routeCheck) ? self::$routeCheck : $config['url_route_on'];
        if ($check) {
   
            // 开启路由
最低0.47元/天 解锁文章
0verWatch
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
thinkphp5.x系列 RCE总结
weixin_30672019的博客
05-11 2818
Thinkphp MVC开发模式 执行流程: 首先发起请求->开始路由检测->获取pathinfo信息->路由匹配->开始路由解析->获得模块、控制器、操作方法调度信息->开始路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序...
【漏洞复现】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 700
在BUU上复现 [ThinkPHP]2-Rce
ThinkPHP5--rce远程代码执行
最新发布
m0_74402888的博客
04-30 466
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
ThinkPHP 5.x RCE 漏洞分析与利用总结
dengzhasong7076的博客
01-21 4897
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例如: 1、大部分payload进入最后rce的函数是调用了call_user_func,其...
ThinkPHP2-RCE漏洞复现
qq_51459600的博客
06-08 1167
影响版本:PHP 5.2~5.6/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
thinkphp 2 - rce漏洞复现
2301_76467680的博客
06-28 167
打开页面成功说明存在漏洞。利用eval函数进行绕过。
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 437
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkPHP 6.x反序列化POP链(一)1
08-03
《深入理解ThinkPHP 6.x反序列化POP链利用》 在网络安全领域,ThinkPHP作为国内广泛应用的PHP框架,其安全问题备受关注。本文将详细探讨ThinkPHP 6.x版本中的一个特定安全问题——反序列化POP链的利用,帮助开发者...
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 6878
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
thinkphp 2-rce
weixin_51692662的博客
11-01 492
thinkphp 2-rce
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3525
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 6964
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
ThinkPHP5 Request类method任意方法调用RCE
weixin_43610673的博客
01-24 1414
此时的调用链如下,由array_walk_recursive调用filterValue函数,完成命令执行。从上面可以看到,filter变量清除在module分支中完成的,通过进入其他进行绕过分支。此时的触发点位于记录路由和请求信息的部分,这也是为什么需要开启debug选项。5.0.13版本之前无需开启debug就能rce,之前的版本中下图代码不会在。中重新再设置一次默认filter,这就会覆盖传入的恶意filter类属性。之前的版本仅在路由调度之前进行设置filter,的键名同名的类属性赋值为。
ThinkPHP5.x未开启强制路由(s参数)RCE
weixin_43610673的博客
01-14 1074
官方公告:https://blog.thinkphp.cn/869075由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。
thinkphp5 rce
weixin_51558394的博客
08-17 442
thinkphp5 rce
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE)漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个漏洞,攻击者需要构造一个特殊的请求,其中包含可执行的系统命令。然后将这个请求发送到受影响的应用程序的漏洞点上。当应用程序在处理这个请求时,会将其中的系统命令当作可执行代码来执行,最终导致攻击者获取对应用服务器的控制权限。 为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架。在最新版本中,开发者已经修复了这个漏洞,并加强了对用户输入的过滤和校验。此外,用户还可以根据自己的需求对应用程序进行进一步的安全加固,比如限制上传文件的类型和大小,对用户输入进行严格的过滤和校验等。 总之,ThinkPHP 3.2.x版本存在远程命令执行漏洞,攻击者可以通过构造恶意请求来执行任意的系统命令。为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架,并加强应用程序的安全加固措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值