ThinkPHP 5.0.x-5.0.23、5.1.x、5.2.x 全版本远程代码执行漏洞分析
0x01 概述
1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日又接连发布两个更新,这三次更新都修复了一个安全问题,该问题可能导致远程代码执行 ,这是ThinkPHP近期的第二个高危漏洞,两个漏洞均是无需登录即可远程触发,危害极大。
- 公告
https://blog.thinkphp.cn/910675
http://blog.nsfocus.net/thinkphp-5-0-5-0-23-rce/
0x02 影响版本
ThinkPHP 5.0.x ~ 5.0.23
ThinkPHP 5.1.x ~ 5.1.31
ThinkPHP 5.2.0beta1
0x03 环境搭建
选择5.0.22完整版和5.1.31版本进行复现分析
0x04 漏洞分析
一、5.0.x版本
我们知道可以通过http://127.0.0.1/public/index.php?s=index的方式通过s参数传递具体的路由,具体调用如下
index.php
require __DIR__ . '/../thinkphp/start.php';
start.php
App::run()->send();
跟进run()方法
可以看到在进入self::exec($dispatch, $config)前,$dispatch的值是通过
$dispatch = self::routeCheck($request, $config)
设置的,这时候如果debug模式开启,就会调用$request->param(),也就是下面exec()中会调用到的函数,经过下面分析就能发现,在debug模式开启时就能直接触发漏洞,原理是一样的。
进入exec()方法看一下:
exec()方法根据$dispatch的值选择进入不同的分支,当进入method分支时,调用Request::instance()->param()方法,跟进param(),看到调用了Request类的method()方法 :
其中method()方法就是补丁修改的位置,在这个方法中,如果method等于true,则调用$this->server()方法:
在server()方法中调用$this->input方法:
接着调用了filterValue()方法:
而filterValue()则调用了call_user_func()函数,如果两个参数均可控,则会造成命令执行:
此时的调用栈如下:
回头看一下$filter和$value参数从哪里来:
$filter:
$filter = $this->getFilter($filter, $default);
在getFilter()中设置了$filter值:
$filter = $filter ?: $this->filter;
也即由$this->filter决定
$value
$value为第一个参数$data,即为传入数组的值,由$this->server决定
所以最终的问题就是如何从请求中传入$this->filter和$this->server这两个值,构造call_user_func()的参数触发漏洞。
回到最开始的run()方法,其中:
$dispatch = self::routeCheck($request, $config);
$dispatch 的值通过routeCheck()方法设置,跟进routeCheck()方法:
调用了check()方法:
check()方法中根据不同的$rules值返回不同的结果,而$rules的值由$method决定,$method则由$request->method()返回值取小写获得,所以再次回到$request->method()方法,这次没有参数
如果$method不等于true,则会取配置选项var_method,该值为_method
然后调用$this->{$this->method}($_POST);语句,此时假设我们控制了$method的值,也就意味着可以调用Request类的任意方法,而当调用构造方法__construct()时,就可以覆盖Request类的任意成员变量,也就是上面分析的$this->filter和$this->server两个值,同时也可以覆盖$this->method,直接指定了check()方法中的$method值。
1. 构造PoC
首先要主动触发Request类的构造函数,通过参数_method=__construct传入,进入到__construct方法,该方法把参数遍历并设置值:
所以我们可以传入filter=system来设置$this->filter的值
此处
filter不是数组也可以,因为在getFilter()中虽然对filter是字符串的情况进行了按,分割,但是传入一个值的情况下不影响最终的返回值
再看$this->server,在调用$this->server('REQUEST_METHOD')时指定了键值,所以通过传入server数组即可
server[REQUEST_METHOD]=id
然后我们注意到上面check()方法,
$rules = isset(self::$rules[$method]) ? self::$rules[$method] : [];
它的返回值由$rules决定,而$rules的值取决于键值$method,当我们指定$method为get时,可以正确获取到路由信息,从而通过checkRoute()检查,此时我们通过指定method=get覆盖$this->method的值即可
最终的PoC:
_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=id
调用栈如下图所示
2. 流程图
整个漏洞的调用流程图如下所示:
二、5.1.x/5.2.x版本
在5.1和5.2版本上,这个变量覆盖依然存在,我们同样可以通过_method参数覆盖var_method,并最终执行到Request::input()方法,通过array_walk_recursive把传入的数组传给回调函数filterValue,最终也是在filterValue中完成命令执行,具体调用如下
当传入_method参数为filter时,覆盖了Request原始的filter成员,在经过路由检查进入Request::instance()->param()方法时,经过$this->method(true)调用,返回的$method值为POST,于是进入post分支,调用input()方法,由于第一个参数为空,返回我们传入的post值
然后把数组合并到$this->param,接着再次调用input()方法,经过$this->getFilter返回filter值,由于此时$data是一个数组(即$this->param),于是进入if分支,经过array_walk_recursive()函数把数组传给回调函数filterValue,遍历键值后同样由call_user_func完成命令执行
if (is_array($data)) {
array_walk_recursive($data, [$this, 'filterValue'], $filter);
if (version_compare(PHP_VERSION, '7.1.0', '<')) {
// 恢复PHP版本低于 7.1 时 array_walk_recursive 中消耗的内部指针
$this->arrayReset($data);
}
} else {
$this->filterValue($data, $name, $filter);
}
1. 构造PoC
a=system&b=id&_method=filter
需要在程序加入忽略异常提示:
error_reporting(0);
调用栈如图
2. 流程图
5.1.x版本的漏洞调用流程图如下所示:
0x05 补丁分析
在三个版本的更新补丁中,限制了$this->method为GET,POST,DELETE,PUT,PATCH这几个方法,因此不能从外部传入方法名再调用Request类的任意方法或是覆盖原有变量。
补丁链接:
- 5.0.24:
https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
- 5.1.31:
https://github.com/top-think/framework/commit/2454cebcdb6c12b352ac0acd4a4e6b25b31982e6
- 5.2-beta.2:
https://github.com/top-think/framework/commit/7c24500e463704583e0778b7ec6efce607ddef5f
0x06 总结
这三漏洞本质上都是变量覆盖漏洞,在一处存在缺陷的方法中没有对用户输入做严格判断,通过传递_method参数覆盖了配置文件的_method,导致可以访问Request类的任意函数,而在Request的构造函数中又创建了恶意的成员变量,导致后面的命令执行;而在5.1和5.2版本中则是直接覆盖了过滤器,在忽略运行异常的情况下会触发漏洞,整个利用链可以说是非常巧妙了。