0x01 概述
1月11日,ThinkPHP
官方发布新版本5.0.24,修复了一个安全问题,该问题可能导致GetShell
,这是ThinkPHP
近期的第二个高危漏洞,两个漏洞均是无需登录即可远程触发,危害极大。
公告:https://blog.thinkphp.cn/910675
补丁:https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
0x02 影响版本
ThinkPHP 5.0.x ~ 5.0.23
0x03 环境搭建
选择5.0.22
完整版进行复现分析
0x04 漏洞分析
我们知道可以通过http://127.0.0.1/public/index.php?s=captcha
的方式通过s
参数传递具体的路由,具体调用如下
index.php
require __DIR__ . '/../thinkphp/start.php';
start.php
App::run()->send();
跟进run()
方法
可以看到在进入self::exec($dispatch, $config)
前,$dispatch
的值是通过
$dispatch = self::routeCheck($request, $config)
设置的,这时候如果debug
模式开启,就会调用$request->param()
,也就是下面exec()
中会调用到的函数,经过下面分析就能发现,在debug
模式开启时就能直接触发漏洞,原理是一样的。
进入exec()
方法看一下:
exec()
方法根据$dispatch
的值选择进入不同的分支,当进入method
分支时,调用Request::instance()->param()
方法,跟进param()
,看到调用了Request
类的method()
方法 :
其中method()
方法就是补丁修改的位置,在这个方法中,如果method
等于true
,则调用$this->server()
方法:
在server()
方法中调用$this->input
方法:
接着调用了filterValue()
方法:
而filterValue()
则调用了call_user_func()
函数,如果两个参数均可控,则会造成命令执行:
此时的调用栈如下:
回头看一下$filter
和$value
参数从哪里来:
$filter
:
$filter = $this->getFilter($filter, $default);
在getFilter()
中设置了$filter
值:
$filter = $filter ?: $this->filter;
也即由$this->filter
决定
$value
$value
为第一个参数$data
,即为传入数组的值,由$this->server
决定
所以最终的问题就是如何从请求中传入$this->filter
和$this->server
这两个值,构造call_user_func()
的参数触发漏洞。
回到最开始的run()
方法,其中:
$dispatch = self::routeCheck($request, $config);
$dispatch
的值通过routeCheck()
方法设置,跟进routeCheck()
方法:
调用了check()
方法:
check()
方法中根据不同的$rules
值返回不同的结果,而$rules
的值由$method
决定,$method
则由$request->method()
返回值取小写获得,所以再次回到$request->method()
方法,这次没有参数
如果$method
不等于true
,则会取配置选项var_method
,该值为_method
然后调用$this->{$this->method}($_POST);
语句,此时假设我们控制了$method
的值,也就意味着可以调用Request
类的任意方法,而当调用构造方法__construct()
时,就可以覆盖Request
类的任意成员变量,也就是上面分析的$this->filter
和$this->server
两个值,同时也可以覆盖$this->method
,直接指定了check()
方法中的$method
值。
0x05 构造PoC
首先要主动触发Request
类的构造函数,通过参数_method=__construct
传入,进入到__construct
方法,该方法把参数遍历并设置值:
所以我们可以传入filter=system
来设置$this->filter
的值
此处
filter
不是数组也可以,因为在getFilter()
中虽然对filter
是字符串的情况进行了按,
分割,但是传入一个值的情况下不影响最终的返回值
再看$this->server
,在调用$this->server('REQUEST_METHOD')
时指定了键值,所以通过传入server
数组即可
server[REQUEST_METHOD]=id
然后我们注意到上面check()
方法,
$rules = isset(self::$rules[$method]) ? self::$rules[$method] : [];
它的返回值由$rules
决定,而$rules
的值取决于键值$method
,当我们指定$method
为get
时,可以正确获取到路由信息,从而通过checkRoute()
检查,此时我们通过指定method=get
覆盖$this->method
的值即可
最终的PoC
:
_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=id
调用栈如下图所示
0x06 流程图
整个漏洞的调用流程图如下所示:
0x07 补丁分析
在5.0.24
的更新补丁中,限制了$this->method
为GET
,POST
,DELETE
,PUT
,PATCH
这几个方法,因此不能从外部传入方法名再调用Request
类的任意方法了。
0x08 总结
这个漏洞本质上是一个变量覆盖漏洞,通过传递_method
参数覆盖了配置文件的_method
,导致可以访问Request
类的任意函数,而在Request
的构造函数中又创建了恶意的成员变量,导致后面的命令执行,整个漏洞利用可以说是非常巧妙了。