0x01 前言

回头看thinkphp了,在开java代码审计之前锻炼一下php的审计能力,php和java都不能丢了。回想一下自己还没有怎么分析过框架,于是这次整了个thinkphp来分析,顺便也把phpstorm的调试配置也弄好了,也算是开始补坑了。

0x02 thinkphp RCE分析

本次复现参考Y4师傅的文章:https://blog.csdn.net/solitudi/article/details/113796433

thinkphp的开发框架就不说了,其实我也不太懂,RCE的分析会说的详细点,在此只记录这次分析过程中我对于thinkphp的认识。

主要有两个poc,其实都大同小异

poc1

/?s=captcha
POST
_method=__construct&filter[]=system&method=get&get[]=whoami

贴个执行截图

还有类似验证码的图片,怎么来的

下断点调试,打入poc看看thinkphp内部的一个执行流程。

断点下在哪,thinkphp框架都有一个入口文件index.php,在public目录下,既然我们要在该文件下传数据,那么就在该文件下断点。

这里会调用 start.php 引导文件

执行app.php的run方法,app.php用于配置应用程序的全局设置和参数,我们跟进run方法,跟进之后会进入到Loader.php,

这里判断是否存在对应的类文件,是否是windows环境,然后就包含这个文件。

接下来进入到run方法,这里会创建一个Request类的实例,Request 就是处理请求的类,继续跟进

又需要 Loader 去包含,然后走到Request类的构造方法

这里将POST数据写入到input变量里,

创建完Request实例后,进入到 routeCheck 方法里

这里获取到path,跟进方法

这里做了一个判断,从Config类里获取到var_pathinfo的值,然后检查$_GET全局变量里是否存在这个变量,我们不妨跟进这个get方法去看一下

$range是_sys_,name属性的值就是var_pathinfo,对应config默认值就是s

那么所获取到的path就是captcha 然后走到路由检查这块地方

时刻关注与request有关的代码,因为可控的地方只有我们请求的数据

这里跟进到check方法

在857行这里,执行的request实例的 method 方法

这里,在config配置类中var_method的默认值就是

然后从$_POST全局变量中找键名为_method的值,这里存在任意函数调用,很关键,我们当前所传的值就是request类的构造方法,这里跟进

遍历键值对,然后判断键名在当前类中是否存在,若存在,就覆盖掉键值。

实际上该类的filter属性是没有空的,我们传的 filter[]=system 会在此刻覆盖掉原有的值,参数值的覆盖同理,又是一个关键的一步。poc中method=get 是将 method 的值给改回来,防止报错。

走到App类的exec方法,应该对应路由的调用,跟进

这里会走到这个分支,还像是captcha路由影响的,至于为什么,代码还没调出来,先留个坑。

然后跟进到 param 方法

$this->mergeParam 为true,进入不到 if 里面,那么进入到input方法

首先是对$name做一些格式 上的处理

然后判断$data是否为数组,满足条件就调用 filterValue 方法,此时的$data和$filter为

弹出filter数组的最后一个元素,然后遍历数组,call_user_func函数调用达到任意命令执行的目的。

poc2

大同小异

?s=captcha
POST
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

在 param 方法中

又有一处method方法的调用,不过参数设置为true了,跟进

调用了 server 方法,参数是 REQUEST_METHOD

最后也会走到input,任意函数调用。

补坑

来补坑了,写完这篇文章之后不甘心,打算又调一下代码,这次算是调明白了。

坑:为什么要get传一个 ?s=captcha

结论:为了方便使 $dispatch=method 从而进入 Request::instance()->param(),当时不懂,为什么传一个captcha 就能让$dispatch=method???

就是在这里,所对应的$dispatch[‘type’]就是method

继续往上跟,看它是由什么赋值

在118行,调用routeCheck方法获取路由调度,这个方法返回的是 $result 那么继续看$result是由谁赋值

路由检查方法的返回值赋给 $result 调试跟的话实际上会走到这里

那么就需要看checkRoute函数的返回值了

此时遍历$rules的下标,有两个元素

拆分,解析路由相关参数

然后跟进到这个函数

在这个match函数里,将 $rule 的内容以斜杠分隔符拆分为数组,然后遍历,经过一系列的判断

这是一个关键点,这里判断$val$m1[$key] 是否不相等,若不相等,返回非0,然后会 return false;所以在get传参上,一定要让s=captcha,至于为什么是参数s,因为在config类中默认参数就是s了。

这里进入不了 elseif 就会遍历下一个元素,

成功匹配后就会调用到 parseRule函数来解析路由

最后就是让 $dispatch[‘type’]=method了,回到了结论。

而如果我们get传入的不是 captcha,在match函数匹配规则的时候就会返回false,然后一路返回false

进入到这个if条件,然后调用 parseUrl 函数

最后返回的 type 是module,在主要执行流中就走不到call_user_func函数了。

0x03 结语

thinkphp没有对用户输入的方法名进行过滤和限制,导致可以任意函数调用,(此时的任意函数只是在Request类中)调用Request类的构造方法达到变量覆盖,最终call_user_func任意代码执行。

主要还是多调试才能理解poc的执行过程。