ThinkphpRCE
参考连接:
thinkphp5 RCE漏洞复现_feng的博客-CSDN博客_rce漏洞复现
【代码审计】ThinkPHP5.x版本RCE漏洞分析与收集 | m0re的小站
加载第三方类库captcha路由。
base.php
Loader.php
helper.php
非debug
payload:
index.php?s=captcha
post
_method=__construct&filter[]=system&method=get&get[]=whoami
2.
?s=captcha
_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=dir
为什么请求?s=captcha
App.php
1.路由检测
$dispatch['type']这儿得到的(下文$idspatch用~表示)
1.1跟进self::routeCheck
当Route::check返回不为flase时,$result为其返回值,~为其返回值,为flase时,~为Route::parseUrl返回值。
1.2跟进Route::check
$rules不为空,~为self::checkRoute返回值
为什么请求_method=__construct&filter[]=system&method=get
1.2.1在check函数进入$request->method(),
1.2.2进入method()函数
会把$_POST['_method']的值赋给$ this->method,$this->{$this->method}($_POST);,相当于可以执行Request类中的任意方法,参数是$_POST。Config::get('var_method)就是_method.即__construct($_POST)。
1.2.3进入__construct函数
在$options中遍历name和item。如果存在该name则重新赋值$name=$item导致变量覆盖。且这里$options是用户可以控制输入的。所以这里相当于可以执行危险函数。这里对filter进行了重新赋值filter[]=system,method=get,get=dir。
1.3跟进self::checkRoute
~为self::checkRule返回值
1.4 跟进self::checkRule
当self::match函数返回值不为flase时,~为self::parseRule返回值。
进入self::match()函数,可知self::match()函数返回值取决于$m1[$key]与$val的值
-$m1为调用self:match()时传入的$url
-$var为$m2数组的每个值(foreach);$m2为调用self:match()传入的$rule
测试发现,$url即为?s=传入的值
对于$rule,一直倒回至Route:check()调用self::checkRoute()时传入了$rules,对$rule进行赋值。
在Route:check()调用self::checkRoute()往上几行,发现$rules来自Route的$rules属性
其中$method由于我们变量之前提到的变量覆盖,其就是get (实际上$method代表请求的方法)
刚进入Route::check()时,即发现其$rules 属性已经存在
实际在加载路由captcha时就定义了。
1.5跟进self::parseRule
进行判断赋值,然后返回$result.
2.路由检测后,进入self::exec函数
2.1 跟进exec函数
发现当$dispatch['type']是controller或者method的时候,会继续调用param()函数
2.2Request.php
2.3进入param函数,
2.4进入input函数。
对于数组中的每一个值,都调用filterValue函数,
为什么请求get[]=dir,
因为array_walk_recursive函数$data需要是数组或字典。
2.5进入filterValue函数,
debug模式
payload:
_method=__construct&filter=system&server[REQUEST_METHOD]=dir
1.App.php run函数
像非debug模式下一样进行属性覆盖。
1.1
1.2Route.php
1.2.1
2,run函数
2.1Request.php
1758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
