「漏洞分析」ThinkPHP5任意代碼執(zhí)行分析全記錄（thinkphp5源碼分析）

一 、前言

ThinkPHP是為了簡化企業(yè)級應用開發(fā)和敏捷WEB應用開發(fā)而誕生的輕量級PHP開發(fā)框架，具有免費開源、快速、簡單且面向?qū)ο蟮忍攸c。
在ThinkPHP的5.*版本中存在安全隱患，由于ThinkPHP5框架對控制器名沒有進行足夠的安全檢測，導致在沒有開啟強制路由的情況下，可能出現(xiàn)getshell漏洞。受影響的版本包括5.0和5.1。

本期安仔課堂，ISEC實驗室的黃老師將為大家介紹ThinkPHP5的相關知識點，歡迎感興趣的朋友一起交流學習。

二、漏洞分析

該漏洞源于ThinkPHP5框架底層對控制器名過濾不嚴，允許黑客通過url調(diào)用Thinkphp框架內(nèi)部的敏感函數(shù)，出現(xiàn)getshell漏洞。具體代碼實現(xiàn)如下：

圖1

2.1

thinkphp/library/think/App.php

首先看到Routecheck代碼，由于沒有在配置文件上定義任何路由，所以默認按照圖一的方式進行解析調(diào)度。如果開啟強制路由模式，會直接拋出錯誤，這時通過Route::import命令加載路由，繼續(xù)跟進路由。

圖2

2.2

thinkphp/library/think/Route.php

可以看到tp5在解析URL的時候只是將URL按分割符分割，并沒有進行安全檢測。繼續(xù)分析：

圖3

其中，滲透測試人員最為關心的是Exchange對外提供的訪問接口，以及使用的加密驗證類型。

2.3

thinkphp/library/think/App.php

可以看到：由于程序并未對控制器進行有效的安全過濾和檢查，因此測試人員可以通過引用“”來調(diào)用任意方法。

圖4

2.4

跟進到module方法

圖5

在測試時注意使用一個已存在的module，否則會拋出異常，無法繼續(xù)運行。此處直接從之前的解析結(jié)果中獲取控制器名稱以及操作名，無任何安全檢查。

圖6

2.5

跟進到實例化Loader 控制器方法

圖7

可以看到如果控制器名中有“”，就直接返回?；氐健皌hinkphp/library/think/App.php”的module方法，正常情況下應該獲取到對應控制器類的實例化對象，而我們現(xiàn)在得到了一個“thinkApp”的實例化對象，通過url調(diào)用其任意的public方法，同時解析url中的額外參數(shù)，當作方法的參數(shù)傳入。我們可以調(diào)用invokeFunction這個方法，構造payload為：

圖8

三、漏洞利用

所有基于tp5.0框架建設的網(wǎng)站都受此漏洞的影響。

3.1

測試該漏洞點是否被修復

圖9

網(wǎng)址后面直接拼接以上代碼，執(zhí)行之后發(fā)現(xiàn)出現(xiàn)phpinfo頁面，說明漏洞存在。

圖10

3.2

在public目錄下創(chuàng)建insfo.php

圖11

修改漏洞利用代碼，直接在public目錄下創(chuàng)建一個名為insfo.php的一句話木馬。

圖12

3.3

刪除insfo.php文件

圖13

四、解決方案

直接添加補丁，升級ThinkPHP版本，開啟強制路由，在ThinkPHP5.0版本的thinkphp/library/think/App.php , Module類的獲取控制名處添加如下代碼,正則過濾:

圖14