0x00 事件背景
2018-12-10 ThinkPHP5系列发布安全更新,该安全更新修复了一处严重漏洞,该漏洞可导致(php/系统)代码执行。
由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞
0x01 影响范围
ThinkPHP 5.x
5.1.x ~ 5.1.31
5.0.x ~ 5.0.23
0x02 修复建议
官方在更新公告中的修复方案是
如果暂时无法更新到最新版本,请开启强制路由并添加相应未定义路由,或者参考commit的修改 增加相关代码。
0x03 漏洞验证
0x04 漏洞分析
在实际分析中,tp的结构和源码在各个分支版本中变化较大。此处仅以5.0.20版本的源代码作为示例进行分析
thinkphp/library/think/App.php
此处则是更新公告里提及的,由于默认情况下是不执行严格路由检测的,所以这里result和result和result和must都为false,所以不会抛出路由无效的异常,而会继续向下执行
再通过parseUrl->parseUrlPath的解析封装好后返回
根据上述代码不难看出,tp在处理路由的过程中,使用了Config::get(‘var_pathinfo’)来作为接收处理pathinfo,而这个值在默认情况下为s,那么就会形成一个调用过程:index.php?s=index/\namespace\class/method
经过初始化和处理后,如果你传递的path合理,那么经过check后是会返回为一个module,并且在接下来的exec处理中就会针对其做对应处理
module中进行controller的处理这里就会抵达一个关键的函数getModuleAndClass
如果执行返回的$class存在就会直接通过invokeClsas对这个class进行实例化
等待controller实例化完成后
只要满足该controller的action可以被调用,那么就会开始针对这个action实现调用
通过invokeMethod进行构建出的class进行调用
调用至invokeFunction完成整个函数的调用执行后返回执行结果
至此该漏洞在5.0.20的一种命令执行的方式已经实现。
更多文章链接:web漏洞,网络安全技术,黑客教程————www.ots-sec.cn