最近准备进一步学习下代码审计,因此打算找些历史漏洞分析学习下。(
啥时候我也能挖出前台rce呢
本次漏洞的入口点在于 Application/Weibo/Controller/ShareController.class.php 的shareBox方法。
Application/Weibo/Controller/ShareController.class.php
share控制器获取外部输入$query,并将它用parse_str解析后交给$array,这里其实就相当于传入了一个数组。接下来的assign()和display()方法,是tp的模板操作方法,assign()用于给模板内的变量赋值,display()用于调用模板并解析。这里还有个T()方法,其实就是去获取模板文件。
ThinkPHP/ThinkPHP/Library/Think/View.class.php
ThinkPHP/Common/functions.php
继续往下跟,接下来的入口点在模板文件里面的W函数。
Application/Weibo/View/default/Widget/share/sharebox.html
然后进入R函数,通过call_user_func_array()调用fetchShare()函数,再到assginFetch()函数。
这里终于要来到这个漏洞的关键点了,即在assginFetch函数中调用的getInfo函数。我们来看下getInfo函数是怎么写的。
Application/Weibo/Model/ShareModel.class.php
$param['method']($param['id']); 这不好起来了吗,一个动态执行函数的写法,然后$param是外部输入的可控参数。不过前面似乎还有一串东西,再来看看这串东西是什么。
D方法是模型调用,那么就是说我们这里的函数执行方法必须是定义的模型中定义方法。整理一下思路,我们现在可以去调用任意模型的任一方法,并且参数可控(一个参数)。于是,接下来就得去翻模型模型的方法了。怎么翻呢,要实现任意函数调用,要么就去找call_user_fun_(),要么就去找一个前面没有类限制的$func($param),或是其他任意函数调用(eval、assert、、。
这里先是找到了model基类里的方法_validationFieldItem()。
但这里想要触发需要控制两个参数。于是再找,
Application/Common/Model/ScheduleModel.class.php
又是一个眼熟的任意函数调用方式,和前面那个调用的比较类似,但这里是两个参数可控,所以可以通过先调用runSchedule(s),再去调用model基类时,这样我们就可以控制两个参数了。
最后,满足一下触发call_user_func_array条件就好了。
复现完成后想了下,这个洞的关键应该是在于ShareModel里的getInfo函数。从挖洞的角度,这个更应该成为入口点,如果真顺着漏洞触发的路线去挖这个东西,那也太强了吧ORZ
顺着getInfo走,发现在同一个控制器内还有个doSendShare方法,里面的getinfo能被同样的方法触发漏洞(缺点是要注册一个用户并登录