12月9日,thinkPHP5.*发布了安全更新,这次更新修复了一处严重级别的漏洞,该漏洞可导致(php/系统)代码执行,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。
此前没有研究过thinkPHP框架,这次借这个漏洞学习一下。
#0x01 补丁比对
比较5.0.22和5.0.23的差异,关键点在app的module方法。
5.0.22:
//获取控制器名
$controller = strip_tags($result[1] ?: $config['default_controller']);$controller = $convert ? strtolower($controller) : $controller;
5.0.23:
//获取控制器名
$controller = strip_tags($result[1] ?: $config['default_controller']);if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {throw new HttpException(404, 'controller not exists:' . $controller);
}$controller = $convert ? strtolower($controller) : $controller;
更新了对于控制器名的检查,可见问题就出在这个控制器的失控。
#0x02漏洞分析
thinkphp各版本代码差异较大,以下使用thinkphp5.0.22版本。
在入口app::run:
if (empty($dispatch)) {
$dispatch = self::routeCheck($request, $config);
}
app::routeCheck:
//Request::path获取http $_SERVER以及根据config配置参数进行处理
/*
$path = '{$module}/{$controller}/{$action}?{$param1}={$val1}&{$param2}={$val2}……'
*/
$path = $request->path();
$depr = $config['pathinfo_depr'];
$result = false;
这里先去request::path获取参数:
public function pathinfo()
{
if (is_null($this->pathinfo)) {
if (isset($_GET[Config::get('var_pathinfo')])) { #s
// 判断URL里面是否有兼容模式参数
$_SERVER['PATH_INFO'] = $_GET[Config::get('var_pathinfo')];
unset($_GET[Config::get('var_pathinfo')]);
} elseif (IS_CLI) {
// CLI模式下 index.php module/controller/action/params/...
$_SERVER['PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '';
}
// 分析PATHINFO信息
if (!isset($_SERVER['PATH_INFO'])) {
foreach (Config::get('pathinfo_fetch') as $type) { #['ORIG_PA