thinkphp 5.0.23 RCE分析
0x01 前言
回头看thinkphp了,在开java代码审计之前锻炼一下php的审计能力,php和java都不能丢了。回想一下自己还没有怎么分析过框架,于是这次整了个thinkphp来分析,顺便也把phpstorm的调试配置也弄好了,也算是开始补坑了。
0x02 thinkphp RCE分析
本次复现参考Y4师傅的文章:https://blog.csdn.net/solitudi/article/details/113796433
thinkphp的开发框架就不说了,其实我也不太懂,RCE的分析会说的详细点,在此只记录这次分析过程中我对于thinkphp的认识。
主要有两个poc,其实都大同小异
poc1
/?s=captcha |
贴个执行截图
还有类似验证码的图片,怎么来的
下断点调试,打入poc看看thinkphp内部的一个执行流程。
断点下在哪,thinkphp框架都有一个入口文件index.php,在public目录下,既然我们要在该文件下传数据,那么就在该文件下断点。
这里会调用 start.php 引导文件
执行app.php的run方法,app.php用于配置应用程序的全局设置和参数,我们跟进run方法,跟进之后会进入到Loader.php,
这里判断是否存在对应的类文件,是否是windows环境,然后就包含这个文件。
接下来进入到run方法,这里会创建一个Request类的实例,Request 就是处理请求的类,继续跟进
又需要 Loader 去包含,然后走到Request类的构造方法
这里将POST数据写入到input变量里,
创建完Request实例后,进入到 routeCheck 方法里
这里获取到path,跟进方法
这里做了一个判断,从Config类里获取到var_pathinfo的值,然后检查$_GET全局变量里是否存在这个变量,我们不妨跟进这个get方法去看一下
$range是_sys_,name属性的值就是var_pathinfo,对应config默认值就是s
那么所获取到的path就是captcha 然后走到路由检查这块地方
时刻关注与request有关的代码,因为可控的地方只有我们请求的数据
这里跟进到check方法
在857行这里,执行的request实例的 method 方法
这里,在config配置类中var_method的默认值就是
然后从$_POST全局变量中找键名为_method的值,这里存在任意函数调用,很关键,我们当前所传的值就是request类的构造方法,这里跟进
遍历键值对,然后判断键名在当前类中是否存在,若存在,就覆盖掉键值。
实际上该类的filter属性是没有空的,我们传的 filter[]=system 会在此刻覆盖掉原有的值,参数值的覆盖同理,又是一个关键的一步。poc中method=get 是将 method 的值给改回来,防止报错。
走到App类的exec方法,应该对应路由的调用,跟进
这里会走到这个分支,还像是captcha路由影响的,至于为什么,代码还没调出来,先留个坑。
然后跟进到 param 方法
$this->mergeParam 为true,进入不到 if 里面,那么进入到input方法
首先是对$name做一些格式 上的处理
然后判断$data是否为数组,满足条件就调用 filterValue 方法,此时的$data和$filter为
弹出filter数组的最后一个元素,然后遍历数组,call_user_func函数调用达到任意命令执行的目的。
poc2
大同小异
?s=captcha |
在 param 方法中
又有一处method方法的调用,不过参数设置为true了,跟进
调用了 server 方法,参数是 REQUEST_METHOD
最后也会走到input,任意函数调用。
补坑
来补坑了,写完这篇文章之后不甘心,打算又调一下代码,这次算是调明白了。
坑:为什么要get传一个 ?s=captcha
结论:为了方便使 $dispatch=method 从而进入 Request::instance()->param(),当时不懂,为什么传一个captcha 就能让$dispatch=method???
就是在这里,所对应的$dispatch[‘type’]就是method
继续往上跟,看它是由什么赋值
在118行,调用routeCheck方法获取路由调度,这个方法返回的是 $result 那么继续看$result是由谁赋值
路由检查方法的返回值赋给 $result 调试跟的话实际上会走到这里
那么就需要看checkRoute函数的返回值了
此时遍历$rules的下标,有两个元素
拆分,解析路由相关参数
然后跟进到这个函数
在这个match函数里,将 $rule 的内容以斜杠分隔符拆分为数组,然后遍历,经过一系列的判断
这是一个关键点,这里判断$val
和 $m1[$key]
是否不相等,若不相等,返回非0,然后会 return false;所以在get传参上,一定要让s=captcha,至于为什么是参数s,因为在config类中默认参数就是s了。
这里进入不了 elseif 就会遍历下一个元素,
成功匹配后就会调用到 parseRule函数来解析路由
最后就是让 $dispatch[‘type’]=method了,回到了结论。
而如果我们get传入的不是 captcha,在match函数匹配规则的时候就会返回false,然后一路返回false
进入到这个if条件,然后调用 parseUrl 函数
最后返回的 type 是module,在主要执行流中就走不到call_user_func函数了。
0x03 结语
thinkphp没有对用户输入的方法名进行过滤和限制,导致可以任意函数调用,(此时的任意函数只是在Request类中)调用Request类的构造方法达到变量覆盖,最终call_user_func任意代码执行。
主要还是多调试才能理解poc的执行过程。