不为空 命令_骑士 CMS 远程命令执行分析

    更多全球网络安全资讯尽在邑安全

0x00 前言

续师傅前些天跟我说骑士 CMS 更新了一个补丁，assign_resume_tpl这个全局函数出现了问题，让我分析看看，我看了下官网公告：

http://www.74cms.com/news/show-2497.html

/Application/Common/Controller/BaseController.class.php文件的assign_resume_tpl函数因为过滤不严格，导致了模板注入，可以进行远程命令执行。

0x01 知识背景

骑士 CMS 采用的同样是 Thinkphp 框架，不过其版本是 3.2.3，我们知道 3.2.3 的标准 URL 路径如下：

http://serverName/index.php/模块/控制器/操作

但骑士 CMS 采用的是普通模式，即传统的GET传参方式来指定当前访问的模块和操作，举个简单的例子，如果我们想要调用 Home 模块下的 User 控制器中的 login 方法如下：

http://localhost/?m=home&c=user&a=login&var=value

m参数表示模块，c参数表示控制器，a参数表示操作/方法，后面的表示其他GET参数

当然，这些参数是可以改变的，如在系统配置中设置如下：

'VAR_MODULE'            =>  'module',     // 默认模块获取变量'VAR_CONTROLLER'        =>  'controller',    // 默认控制器获取变量'VAR_ACTION'            =>  'action',    // 默认操作获取变量

那么刚才的地址就变成了：

http://localhost/?module=home&controller=user&action=login&var=value

知道这些那么这个漏洞就很清楚应该如何构造了

0x02 漏洞分析

漏洞文件：/Application/Common/Controller/BaseController.class.php中的assign_resume_tpl方法：

public function assign_resume_tpl($variable,$tpl){        foreach ($variable as $key => $value) {            $this->assign($key,$value);        }        return $this->fetch($tpl);    }

传入两个变量，其中$tpl变量被传到fetch()方法中，跟进该方法

/ThinkPHP/Library/Think/View.class.php

public function fetch($templateFile='',$content='',$prefix='') {        if(empty($content)) {            $templateFile   =   $this->parseTemplate($templateFile);            // 模板文件不存在直接返回            if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);        }else{            defined('THEME_PATH') or    define('THEME_PATH', $this->getThemePath());        }        // 页面缓存        ob_start();        ob_implicit_flush(0);        if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板            $_content   =   $content;            // 模板阵列变量分解成为独立变量            extract($this->tVar, EXTR_OVERWRITE);            // 直接载入PHP模板            empty($_content)?include $templateFile:eval('?>'.$_content);        }else{            // 视图解析标签            $params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix);            Hook::listen('view_parse',$params);        }        // 获取并清空缓存        $content = ob_get_clean();        // 内容过滤标签        Hook::listen('view_filter',$content);        // 输出模板文件        return $content;    }

首先判断传入的模板文件是否为空，如果不为空，那么继续判断是否使用了PHP原生模板，我们查看配置文件：/ThinkPHP/Conf/convention.php 大概111 行：

'TMPL_ENGINE_TYPE'      =>  'Think',     // 默认模板引擎 以下设置仅对使用Think模板引擎有效    'TMPL_CACHFILE_SUFFIX'  =>  '.php',      // 默认模板缓存后缀    'TMPL_DENY_FUNC_LIST'   =>  'echo,exit',    // 模板引擎禁用函数    'TMPL_DENY_PHP'         =>  false, // 默认模板引擎是否禁用PHP原生代码

可以看到骑士 CMS 默认启用的是Think模板，因此判断就进入了

$params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix); Hook::listen('view_parse',$params);

将值带入数组，并传入Hook::listen()，并解析view_parse标签，继续跟进/ThinkPHP/Library/Think/Hook.class.php，大概 80 行：

/**     * 监听标签的插件     * @param string $tag 标签名称     * @param mixed $params 传入参数     * @return void     */    static public function listen($tag, &$params=NULL) {        if(isset(self::$tags[$tag])) {            if(APP_DEBUG) {                G($tag.'Start');                trace('[ '.$tag.' ] --START--','','INFO');            }            foreach (self::$tags[$tag] as $name) {                APP_DEBUG && G($name.'_start');                $result =   self::exec($name, $tag,$params);                if(APP_DEBUG){                    G($name.'_end');                    trace('Run '.$name.' [ RunTime:'.G($name.'_start',$name.'_end',6).'s ]','','INFO');                }                if(false === $result) {                    // 如果返回false 则中断插件执行                    return ;                }            }            if(APP_DEBUG) { // 记录行为的执行日志                trace('[ '.$tag.' ] --END-- [ RunTime:'.G($tag.'Start',$tag.'End',6).'s ]','','INFO');            }        }        return;    } /**     * 执行某个插件     * @param string $name 插件名称     * @param string $tag 方法名(标签名)          * @param Mixed $params 传入的参数     * @return void     */    static public function exec($name, $tag,&$params=NULL) {        if('Behavior' == substr($name,-8) ){            // 行为扩展必须用run入口方法            $tag    =   'run';        }        $addon   = new $name();        return $addon->$tag($params);    }

也就是说当系统触发了view_parse事件，ThinkPHP会找到Hook::listen()方法，该方法会查找$tags中有没有绑定view_parse事件的方法，然后用foreach遍历$tags属性，并执行Hook:exec方法。

Hook:exec方法会检查行为名称，如果包含Behavior关键字，那么入口方法必须为run方法，而执行run方法的参数在调用Hook::listen时指定。 Hook的配置写在/ThinkPHP/Mode/common.php中，如下：

// 行为扩展定义    'tags'  =>  array(        'app_init'     =>  array(            'Behavior\BuildLiteBehavior', // 生成运行Lite文件        ),                'app_begin'     =>  array(            'Behavior\ReadHtmlCacheBehavior', // 读取静态缓存        ),        'app_end'       =>  array(            'Behavior\ShowPageTraceBehavior', // 页面Trace显示        ),        'view_parse'    =>  array(            'Behavior\ParseTemplateBehavior', // 模板解析 支持PHP、内置模板引擎和第三方模板引擎         ),        'template_filter'=> array(            'Behavior\ContentReplaceBehavior', // 模板输出替换        ),        'view_filter'   =>  array(            'Behavior\WriteHtmlCacheBehavior', // 写入静态缓存        ),    ),

从配置文件可以看到view_parse标签执行了ParseTemplateBehavior这个类，因为所有行为扩展的入口都是run方法，所以我们只需要看run方法实现即可，/ThinkPHP/Library/Behavior/ParseTemplateBehavior.class.php17 行左右：

class ParseTemplateBehavior {    // 行为扩展的执行入口必须是run    public function run(&$_data){        $engine             =   strtolower(C('TMPL_ENGINE_TYPE'));        $_content           =   empty($_data['content'])?$_data['file']:$_data['content'];        $_data['prefix']    =   !empty($_data['prefix'])?$_data['prefix']:C('TMPL_CACHE_PREFIX');        if('think'==$engine){ // 采用Think模板引擎            if((!empty($_data['content']) && $this->checkContentCache($_data['content'],$_data['prefix']))                 ||  $this->checkCache($_data['file'],$_data['prefix'])) {                 // 缓存有效                //载入模版缓存文件               Storage::load(C('CACHE_PATH').$_data['prefix'].md5($_content).C('TMPL_CACHFILE_SUFFIX'),$_data['var']);            }else{                $tpl = Think::instance('Think\\Template');                // 编译并加载模板文件                $tpl->fetch($_content,$_data['var'],$_data['prefix']);            }        }else{            // 调用第三方模板引擎解析和输出            if(strpos($engine,'\\')){                $class  =   $engine;            }else{                $class   =  'Think\\Template\\Driver\\'.ucwords($engine);                            }                        if(class_exists($class)) {                $tpl   =  new $class;                $tpl->fetch($_content,$_data['var']);            }else {  // 类没有定义                E(L('_NOT_SUPPORT_').': ' . $class);            }        }    }

从代码中知道第一次解析模板时(即模板文件没有缓存)，调用了fetch()方法：

$tpl = Think::instance('Think\\Template');// 编译并加载模板文件$tpl->fetch($_content,$_data['var'],$_data['prefix']);

跟进文件/ThinkPHP/Library/Think/Template.class.php73 行左右：

/**     * 加载模板     * @access public     * @param string $templateFile 模板文件        * @param array  $templateVar 模板变量     * @param string $prefix 模板标识前缀     * @return void     */    public function fetch($templateFile,$templateVar,$prefix='') {        $this->tVar         =   $templateVar;        $templateCacheFile  =   $this->loadTemplate($templateFile,$prefix);        Storage::load($templateCacheFile,$this->tVar,null,'tpl');    }/**     * 加载主模板并缓存     * @access public     * @param string $templateFile 模板文件     * @param string $prefix 模板标识前缀     * @return string     * @throws ThinkExecption     */    public function loadTemplate ($templateFile,$prefix='') {        if(is_file($templateFile)) {            $this->templateFile    =  $templateFile;            // 读取模板文件内容            $tmplContent =  file_get_contents($templateFile);        }else{            $tmplContent =  $templateFile;        }         // 根据模版文件名定位缓存文件        $tmplCacheFile = $this->config['cache_path'].$prefix.md5($templateFile).$this->config['cache_suffix'];        // 判断是否启用布局        if(C('LAYOUT_ON')) {            if(false !== strpos($tmplContent,'{__NOLAYOUT__}')) { // 可以单独定义不使用布局                $tmplContent = str_replace('{__NOLAYOUT__}','',$tmplContent);            }else{ // 替换布局的主体内容                $layoutFile  =  THEME_PATH.C('LAYOUT_NAME').$this->config['template_suffix'];                // 检查布局文件                if(!is_file($layoutFile)) {                    E(L('_TEMPLATE_NOT_EXIST_').':'.$layoutFile);                }                $tmplContent = str_replace($this->config['layout_item'],$tmplContent,file_get_contents($layoutFile));            }        }        // 编译模板内容        $tmplContent =  $this->compiler($tmplContent);        Storage::put($tmplCacheFile,trim($tmplContent),'tpl');        return $tmplCacheFile;    }

可以看到fetch()方法调用了loadTemplate方法，然后在loadTemplate方法中，$templateFile被赋值给了$tmplContent，然后在编译模板内容时，进入了compiler方法，依旧是/ThinkPHP/Library/Think/Template.class.php文件，在120 行左右：

/**     * 编译模板文件内容     * @access protected     * @param mixed $tmplContent 模板内容     * @return string     */    protected function compiler($tmplContent) {        //模板解析        $tmplContent =  $this->parse($tmplContent);        // 还原被替换的Literal标签        $tmplContent =  preg_replace_callback('//is', array($this, 'restoreLiteral'), $tmplContent);        // 添加安全代码        $tmplContent =  '<?php  if (!defined(\'THINK_PATH\')) exit();?>'.$tmplContent;// 优化生成的php代码$tmplContent = str_replace('?><?php ','',$tmplContent);// 模版编译过滤标签Hook::listen('template_filter',$tmplContent);return strip_whitespace($tmplContent);//strip_whitespace函数主要是去除代码中的空白和注释}

传入的模板内容未经过过滤就直接被拼接到$tmplContent变量

然后返回loadTemplate方法，看其编辑模板的逻辑：

// 编译模板内容 $tmplContent =  $this->compiler($tmplContent); Storage::put($tmplCacheFile,trim($tmplContent),'tpl'); return $tmplCacheFile;

将编译好的模板进行缓存处理，然后返回缓存的文件名

返回到fetch()方法，可以看到loadTemplate方法返回的缓存文件名进入了

Storage::load($templateCacheFile,$this->tVar,null,'tpl');

跟进该方法，在/ThinkPHP/Library/Think/Storage/Driver/File.class.php，69 行左右：

/**     * 加载文件     * @access public     * @param string $filename  文件名     * @param array $vars  传入变量     * @return void             */    public function load($_filename,$vars=null){        if(!is_null($vars)){            extract($vars, EXTR_OVERWRITE);        }        include $_filename;    }

进行非空判断后，直接进行了文件包含。

这样一来整个漏洞的流程就很清楚了，流程图如下所示：

0x03 漏洞复现

首先在前台注册一个普通用户，然后更新简历：

完成简历更新后，上传照片：

在上传图片马后，会生成图片地址：

复制路径，通过 a 方法调用assign_resume_tpl函数，再通过 POST 的方式提交该路径，即可包含成功

http://192.168.159.208/index.php?m=home&a=assign_resume_tpl
POST:
variable=1&tpl=../../../../var/www/html/data/upload/resume_img/2011/13/5fae95e469e05.jpg

如下图所示：

值得一提的是，通过上面的分析我们可以知道，在解析模板的时候，不是解析原生的 PHP 代码，因此如果图片马是纯 PHP 代码是无法利用成功的，必须要包括骑士 CMS 模板文件的标签，我们可以随便打开一个原有模板，然后复制一句话即可，如：/Application/Home/View/tpl_company/default/com_jobs_list.html

因此最终的图片马所要包含的内容应该是：

<?php  phpinfo(); ?>

另外一点，骑士 CMS 对于图片上传是有过滤的，所以需要绕过技巧，具体可以自行研究，当然你也可以考虑上传 docx 或者其他类型的文件，对于包含的结果是没有影响的

0x04 漏洞修复

官方虽然给了修复的方法，如下：

BaseController.class.php文件中169行assign_resume_tpl方法中添加判断

$view = new \Think\View;        $tpl_file = $view->parseTemplate($tpl);        if(!is_file($tpl_file)){            return false;        }

文件2

路径：/ThinkPHP/Library/Think/View.class.php， View.class.php文件中106行fetch方法中修改，将110行

if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);

代码注释替换为

if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_'))

但其实这种修复方式是没有用的，我们依旧可以执行命令，如下图所示：

这里提供一个个人的临时修复方案：

BaseController.class.php文件中assign_resume_tpl方法中添加判断

$pattern = "\.\/|\.\.\/|:|%00|%0a|=|~|@|file|php|filter|resource";    if(preg_match("/".$pattern."/is",$tpl)== 1){        return $this->_empty();    }

如下所示：

在此执行命令时，发现已经失败了：

0x05 总结

本漏洞其实也是寻常的模板注入漏洞，由可控参数传入fetch()函数，这个漏洞产生的方式相信很多人已经很熟悉了，前段时间分析的 fastadmin 前台 RCE 也是由这个原因，但上次偷懒没有分析具体传入的流程，本次分析的比较具体，有不足或错误之处希望师傅们指出，共同学习。最后感谢续师傅的指点

原文来自:先知社区

原文链接:https://xz.aliyun.com/t/8520

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

推荐文章

1

新永恒之蓝？微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警：ubuntu最新版本存在本地提权漏洞(已有EXP)