一、漏洞介紹
2019年1月11日�����,ThinkPHP團(tuán)隊(duì)發(fā)布了一個(gè)補(bǔ)丁更新�����,修復(fù)了一處由于不安全的動(dòng)態(tài)函數(shù)調(diào)用導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞�����。該漏洞危害程度非常高�����,默認(rèn)條件下即可執(zhí)行遠(yuǎn)程代碼�����。啟明星辰ADLab安全研究員對(duì)ThinkPHP的多個(gè)版本進(jìn)行源碼分析和驗(yàn)證后,確認(rèn)具體受影響的版本為ThinkPHP5.0-5.0.23完整版�����。
二�����、漏洞復(fù)現(xiàn)
本地環(huán)境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache進(jìn)行復(fù)現(xiàn)�����。安裝環(huán)境后執(zhí)行POC即可執(zhí)行系統(tǒng)命令�����,如圖:
三�����、漏洞分析
以網(wǎng)址下載的5.0.22完整版進(jìn)行分析,首先定位到漏洞關(guān)鍵點(diǎn):
thinkphp/library/think/Request.php:518
在method函數(shù)的第二個(gè)if分支中�����,引入了一個(gè)外部可控的數(shù)據(jù)$_POST[Config::get[‘var_method’]�����。而var_method的值為_method�����。
Request類的__construct函數(shù)如下:
由于$options參數(shù)可控�����,攻擊者可以覆蓋該類的filter屬性�����、method屬性以及get屬性的值�����。而在Request類的param函數(shù)中:
當(dāng)$this- mergeParam為空時(shí)�����,這里會(huì)調(diào)用$this- get(false)�����。跟蹤$this- get函數(shù):
該函數(shù)末尾調(diào)用了$this- input函數(shù)�����,并將$this- get傳入�����,而$this- get的值是攻擊者可控的�����。跟蹤$this- input函數(shù):
該函數(shù)調(diào)用了$this- getFileter取得過(guò)濾器�����。函數(shù)體如下:
$this- filter的值是攻擊者通過(guò)調(diào)用html' target='_blank'>構(gòu)造函數(shù)覆蓋控制的�����,將該值返回后將進(jìn)入到input函數(shù):
查看filterValue函數(shù)如下:
在call_user_func函數(shù)的調(diào)用中�����,$filter可控,$value可控�����。因此�����,可致代碼執(zhí)行�����。
漏洞觸發(fā)流程:
從ThinkPHP5的入口點(diǎn)開始分析:
thinkphp/library/think/App.php:77
run函數(shù)第一行便實(shí)例化了一個(gè)Request類�����,并賦值給了$request。然后調(diào)用routeCheck($request,$config):
這里調(diào)用Route::check進(jìn)行路由檢測(cè)�����。函數(shù)如下:
注意紅色字體部分�����。對(duì)應(yīng)開頭的第一個(gè)步驟�����,也就是調(diào)用method函數(shù)進(jìn)行變量覆蓋�����。這里需要覆蓋的屬性有$this- filter,$this- method,$this- get�����。因?yàn)?request- method()的返回值為$this- method,所以該值也需要被控制�����。這里返回值賦值給了$method,然后取出self::$rules[$method]的值給$rules�����。這里需要注意:THINKPHP5有自動(dòng)類加載機(jī)制�����,會(huì)自動(dòng)加載vendor目錄下的一些文件�����。但是完整版跟核心版的vendor目錄結(jié)構(gòu)是不一樣的�����。
完整版的目錄結(jié)構(gòu)如下:
而核心版的目錄結(jié)構(gòu)如下:
可以看到完整版比核心版多出了幾個(gè)文件夾�����。特別需要注意的就是think-captcha/src這個(gè)文件夾里有一個(gè)helper.php文件:
這里調(diào)用/think/Route::get函數(shù)進(jìn)行路由注冊(cè)的操作�����。而這步操作的影響就是改變了上文提到的self::$rules的值。有了這個(gè)路由�����,才能進(jìn)行RCE�����,否則不成功�����。這也就是為什么只影響完整版,而不影響核心版的原因�����。此時(shí)的self::$rules的值為:
那么�����,當(dāng)攻擊者控制返回的$method的值為get的時(shí)候�����,$rules的值就是這條路由的規(guī)則�����。然后回到上文取到$rules之后�����,根據(jù)傳入的URL取得$item的值�����,使得$rules[$item]的值為captcha路由數(shù)組,就可以進(jìn)一步調(diào)用到self::parseRule函數(shù)�����。函數(shù)體略長(zhǎng)�����,這里取關(guān)鍵點(diǎn):
此時(shí)傳遞進(jìn)來(lái)的$route的值為/think/captcha/CaptchaController@index�����。因此進(jìn)入的是標(biāo)注紅色的if分支中�����。在這個(gè)分支中�����,$result的’type’鍵對(duì)應(yīng)的值為‘method’�����。然后將$result層層返回到run函數(shù)中�����,并賦值給了$dispatch�����。
然后將$dispatch帶入到self::exec函數(shù)中:
進(jìn)入到紅色標(biāo)注的分支�����,該分支調(diào)用Request類的param方法。因此�����,滿足了利用鏈的第三步,造成命令執(zhí)行�����。
啟明星辰ADLab安全研究員對(duì)ThinkPHP5.0-5.0.23每個(gè)版本都進(jìn)行了分析�����,發(fā)現(xiàn)ThinkPHP5.0.2-5.0.23可以使用同一個(gè)POC�����,而ThinkPHP5.0-5.0.1需要更改一下POC,原因在于Route.php的rule函數(shù)的一個(gè)實(shí)現(xiàn)小差異�����。
ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235�����,將$type轉(zhuǎn)換成了大寫:
在ThinkPHP5.0.2-5.0.23版本中�����,rule函數(shù)中卻將$type轉(zhuǎn)換成了小寫:
四�����、補(bǔ)丁分析
在ThinkPHP5.0.24中�����,增加了對(duì)$this- method的判斷�����,不允許再自由調(diào)用類函數(shù)�����。
五�����、結(jié)論
強(qiáng)烈建議用戶升級(jí)到ThinkPHP5.0.24版本,并且不要開啟debug模式�����,以免遭受攻擊�����。
相關(guān)推薦:《PHP教程》
以上就是ThinkPHP5核心類Request遠(yuǎn)程代碼漏洞分析的詳細(xì)內(nèi)容�����,PHP教程
鄭重聲明:本文版權(quán)歸原作者所有�����,轉(zhuǎn)載文章僅為傳播更多信息之目的�����,如作者信息標(biāo)記有誤�����,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除�����,多謝。
