一、漏洞介紹
2019年1月11日,ThinkPHP團隊發布了一個補丁更新��,修復了一處由于不安全的動態函數調用導致的遠程代碼執行漏洞�����。該漏洞危害程度非常高�����,默認條件下即可執行遠程代碼�����。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進行源碼分析和驗證后�����,確認具體受影響的版本為ThinkPHP5.0-5.0.23完整版����。
二�����、漏洞復現
本地環境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache進行復現����。安裝環境后執行POC即可執行系統命令��,如圖:
三、漏洞分析
以網址下載的5.0.22完整版進行分析��,首先定位到漏洞關鍵點:
thinkphp/library/think/Request.php:518
在method函數的第二個if分支中����,引入了一個外部可控的數據$_POST[Config::get[‘var_method’]����。而var_method的值為_method。
Request類的__construct函數如下:
由于$options參數可控�����,攻擊者可以覆蓋該類的filter屬性����、method屬性以及get屬性的值�����。而在Request類的param函數中:
當$this- mergeParam為空時�����,這里會調用$this- get(false)。跟蹤$this- get函數:
該函數末尾調用了$this- input函數�����,并將$this- get傳入��,而$this- get的值是攻擊者可控的��。跟蹤$this- input函數:
該函數調用了$this- getFileter取得過濾器��。函數體如下:
$this- filter的值是攻擊者通過調用html' target='_blank'>構造函數覆蓋控制的,將該值返回后將進入到input函數:
查看filterValue函數如下:
在call_user_func函數的調用中��,$filter可控����,$value可控��。因此����,可致代碼執行。
漏洞觸發流程:
從ThinkPHP5的入口點開始分析:
thinkphp/library/think/App.php:77
run函數第一行便實例化了一個Request類�����,并賦值給了$request。然后調用routeCheck($request,$config):
這里調用Route::check進行路由檢測�����。函數如下:
注意紅色字體部分����。對應開頭的第一個步驟,也就是調用method函數進行變量覆蓋�����。這里需要覆蓋的屬性有$this- filter,$this- method,$this- get��。因為$request- method()的返回值為$this- method�����,所以該值也需要被控制。這里返回值賦值給了$method�����,然后取出self::$rules[$method]的值給$rules����。這里需要注意:THINKPHP5有自動類加載機制,會自動加載vendor目錄下的一些文件����。但是完整版跟核心版的vendor目錄結構是不一樣的。
完整版的目錄結構如下:
而核心版的目錄結構如下:
可以看到完整版比核心版多出了幾個文件夾����。特別需要注意的就是think-captcha/src這個文件夾里有一個helper.php文件:
這里調用/think/Route::get函數進行路由注冊的操作。而這步操作的影響就是改變了上文提到的self::$rules的值�����。有了這個路由�����,才能進行RCE����,否則不成功����。這也就是為什么只影響完整版����,而不影響核心版的原因��。此時的self::$rules的值為:
那么��,當攻擊者控制返回的$method的值為get的時候��,$rules的值就是這條路由的規則��。然后回到上文取到$rules之后��,根據傳入的URL取得$item的值����,使得$rules[$item]的值為captcha路由數組��,就可以進一步調用到self::parseRule函數�����。函數體略長�����,這里取關鍵點:
此時傳遞進來的$route的值為/think/captcha/CaptchaController@index����。因此進入的是標注紅色的if分支中。在這個分支中�����,$result的’type’鍵對應的值為‘method’����。然后將$result層層返回到run函數中,并賦值給了$dispatch����。
然后將$dispatch帶入到self::exec函數中:
進入到紅色標注的分支,該分支調用Request類的param方法����。因此����,滿足了利用鏈的第三步����,造成命令執行�����。
啟明星辰ADLab安全研究員對ThinkPHP5.0-5.0.23每個版本都進行了分析����,發現ThinkPHP5.0.2-5.0.23可以使用同一個POC,而ThinkPHP5.0-5.0.1需要更改一下POC��,原因在于Route.php的rule函數的一個實現小差異��。
ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235��,將$type轉換成了大寫:
在ThinkPHP5.0.2-5.0.23版本中����,rule函數中卻將$type轉換成了小寫:
四��、補丁分析
在ThinkPHP5.0.24中�����,增加了對$this- method的判斷,不允許再自由調用類函數����。
五����、結論
強烈建議用戶升級到ThinkPHP5.0.24版本��,并且不要開啟debug模式����,以免遭受攻擊。
相關推薦:《PHP教程》
以上就是ThinkPHP5核心類Request遠程代碼漏洞分析的詳細內容�����,PHP教程
鄭重聲明:本文版權歸原作者所有����,轉載文章僅為傳播更多信息之目的����,如作者信息標記有誤�����,請第一時間聯系我們修改或刪除����,多謝�����。
