ThinkPHP5中心类Request长途代码破绽剖析【php教程】,ThinkPHP5,漏洞分析

一、破绽引见

2019年1月11日，ThinkPHP团队宣布了一个补丁更新，修复了一处由于不平安的动态函数挪用致使的长途代码实行破绽。该破绽伤害水平异常高，默许条件下即可实行长途代码。启明星斗ADLab平安研究员对ThinkPHP的多个版本举行源码剖析和考证后，确认细致受影响的版本为ThinkPHP5.0-5.0.23完整版。

二、破绽复现

当地环境采纳ThinkPHP 5.0.22完整版+PHP5.5.38+Apache举行复现。装置环境后实行POC即可实行体系敕令，如图：

三、破绽剖析

以官网下载的5.0.22完整版举行剖析，起首定位到破绽症结点：

thinkphp/library/think/Request.php:518

在method函数的第二个if分支中，引入了一个外部可控的数据$_POST[Config::get[‘var_method’]。而var_method的值为_method。

Request类的__construct函数以下：

由于$options参数可控，进击者能够掩盖该类的filter属性、method属性以及get属性的值。而在Request类的param函数中：

当$this->mergeParam为空时，这里会挪用$this->get(false)。跟踪$this->get函数：

该函数末端挪用了$this->input函数，并将$this->get传入，而$this->get的值是进击者可控的。跟踪$this->input函数：

该函数挪用了$this->getFileter获得过滤器。函数体以下：

$this->filter的值是进击者经由过程挪用组织函数掩盖掌握的，将该值返回后将进入到input函数:

检察filterValue函数以下：

在call_user_func函数的挪用中，$filter可控，$value可控。因而，可致代码实行。

破绽触发流程：

从ThinkPHP5的进口点最先剖析：

thinkphp/library/think/App.php:77

run函数第一行便实例化了一个Request类，并赋值给了$request。然后挪用routeCheck($request,$config)：

这里挪用Route::check举行路由检测。函数以下：

注重赤色字体部份。对应开首的第一个步骤，也就是挪用method函数举行变量掩盖。这里须要掩盖的属性有$this->filter,$this->method,$this->get。由于$request->method()的返回值为$this->method，所以该值也须要被掌握。这里返回值赋值给了$method，然后掏出self::$rules[$method]的值给$rules。这里须要注重：THINKPHP5有自动类加载机制，会自动加载vendor目次下的一些文件。然则完整版跟中心版的vendor目次构造是不一样的。

完整版的目次构造以下：

而中心版的目次构造以下：

能够看到完整版比中心版多出了几个文件夹。迥殊须要注重的就是think-captcha/src这个文件夹里有一个helper.php文件：

这里挪用\think\Route::get函数举行路由注册的操纵。而这步操纵的影响就是改变了上文提到的self::$rules的值。有了这个路由，才举行RCE，不然不成功。这也就是为何只影响完整版，而不影响中心版的缘由。此时的self::$rules的值为:

那末，当进击者掌握返回的$method的值为get的时刻，$rules的值就是这条路由的划定规矩。然后回到上文取到$rules以后，依据传入的URL获得$item的值，使得$rules[$item]的值为captcha路由数组，就能够进一步挪用到self::parseRule函数。函数体略长，这里取症结点：

此时通报进来的$route的值为\think\captcha\CaptchaController@index。因而进入的是标注赤色的if分支中。在这个分支中，$result的’type’键对应的值为‘method’。然后将$result层层返回到run函数中，并赋值给了$dispatch。

然后将$dispatch带入到self::exec函数中：

进入到赤色标注的分支，该分支挪用Request类的param要领。因而，满足了应用链的第三步，形成敕令实行。

启明星斗ADLab平安研究员对ThinkPHP5.0-5.0.23每一个版本都举行了剖析，发明ThinkPHP5.0.2-5.0.23能够运用同一个POC，而ThinkPHP5.0-5.0.1须要变动一下POC，缘由在于Route.php的rule函数的一个完成小差别。

ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235，将$type转换成了大写：

在ThinkPHP5.0.2-5.0.23版本中，rule函数中却将$type转换成了小写：

四、补丁剖析

在ThinkPHP5.0.24中，增加了对$this->method的推断，不允许再自在挪用类函数。

五、结论

强烈建议用户升级到ThinkPHP5.0.24版本，而且不要开启debug形式，以避免遭遇进击。

相干引荐：《PHP教程》

以上就是ThinkPHP5中心类Request长途代码破绽剖析的细致内容，更多请关注ki4网别的相干文章！