ThinkPHP5 源码剖析(批量getShell原理)

前言：

了解TP5批量getshell原理

正文：

首先，网上查看了下漏洞形成的原理。

简单概括：

就是在TP5在处理URL路由信息的时候，如果没有开启强制路由的话，遇到 “\” 反斜杠开头的就认为是包含命名空间的类名，未进行任何过滤，就直接实例化了控制器。

环境配置：

首先就是先下载TP5源码 + 装上调试神器Xdebug + PHPStrom（这里吐槽一句，就是弄这个破调试环境！昨天浪费了我一下午！又踩了一遍新坑！）

环境配置就不说了，网上教程一大堆，注意点那些坑就好了。

影响范围： 版本 <= 5.0.23

源码分析：

首先，从入口文件下断点开始追


主要初始化方法：

漏洞总结：

追完源码后，个人感觉这次漏洞主要爆发的有四个地方：

1. Route.php下： parseUrlPath()函数解析Url地址的时候；
   
2. Router.php 下： parseUrl()函数解析控制器的时候；
   

3.Loader.php 下的：getModuleAndClass()函数解析类名并赋值$class类名变量时

4.App.php 下的：invokeClass() 函数实例化类名时；

个人认为这四步中只要有其中一步可以对url中的参数进行过滤处理一下就可以避免这个漏洞。

换位思考： 如果是我的话，我可能会直接在第一步的URL地址上获取的时候进行过滤，但是，这有可能会影响到其他正常流程的类进行实例化。第二、三步也是如此，都有可能会影响到正常流程的类的实例化。 所以，在最后一步实例化类之前，还有一步获取控制器的名称(在上面追代码的流程中，不在我说得这四步里)在这一步过滤可能是目前看起来的最优解了。 而TP官方也正是这么处理的。（说明自己思考问题的时候还是不够全面，特别是改代码的时候“尤其” 并且 “额外”的需要注意改动是否会影响现有正常逻辑流程。业务开发过程中也是，因为踩过这种改代码不细心的坑啦！！你可不能再踩了！）

修复方法：

在获取控制器名的操作下，加入如下代码：

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
	throw new HttpException(404, 'controller not exists:' . $controller);
}