当前位置:   article > 正文

快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...

tp5开源后台

一 、前言

ThinkPHP是为了简化企业级应用开发敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。
在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。

本期安仔课堂,ISEC实验室的黄老师将为大家介绍ThinkPHP5的相关知识点,欢迎感兴趣的朋友一起交流学习。

二、漏洞分析

该漏洞源于ThinkPHP5框架底层对控制器名过滤不严,允许黑客通过url调用Thinkphp框架内部的敏感函数,出现getshell漏洞。具体代码实现如下:

185de9e1d88dbe34cf3b114c725e71f7.png

图1

2.1

thinkphp/library/think/App.php

首先看到routecheck代码,由于没有在配置文件上定义任何路由,所以默认按照图一的方式进行解析调度。如果开启强制路由模式,会直接抛出错误,这时通过Route::import命令加载路由,继续跟进路由。

a96411c11a297205ed070760826a8647.png

图2

2.2

thinkphp/library/think/Route.php

可以看到tp5在解析URL的时候只是将URL按分割符分割,并没有进行安全检测。继续分析:

a122370fa68db88933819dabdfe60176.png

图3

其中,渗透测试人员最为关心的是Exchange对外提供的访问接口,以及使用的加密验证类型

2.3

thinkphp/library/think/App.php

可以看到:由于程序并未对控制器进行有效的安全过滤和检查,因此测试人员可以通过引用“”来调用任意方法。

7097b675fb6dddf9652cfcc76be68ef0.png

图4

2.4

跟进到module方法

5aa93b70c5c268a6ee41a338a7f82653.png

图5

在测试时注意使用一个已存在的module,否则会抛出异常,无法继续运行。此处直接从之前的解析结果中获取控制器名称以及操作名,无任何安全检查。

2766f316ecb6058526e2794a4d1702f0.png

图6

2.5

跟进到实例化Loader 控制器方法

575cf8c8325289daf3054b5feba28a81.png

图7

可以看到如果控制器名中有“”,就直接返回。回到“thinkphp/library/think/App.php”的module方法,正常情况下应该获取到对应控制器类的实例化对象,而我们现在得到了一个“hinkApp”的实例化对象,通过url调用其任意的public方法,同时解析url中的额外参数,当作方法的参数传入。我们可以调用invokeFunction这个方法,构造payload为:

fb768cb477c789bfd6b571323d8242a8.png

图8

三、漏洞利用

所有基于tp5.0框架建设的网站都受此漏洞的影响。

3.1

测试该漏洞点是否被修复

1b1781a695f19b5de13ce8f134468430.png

图9


网址后面直接拼接以上代码,执行之后发现出现phpinfo页面,说明漏洞存在。

ec23753526e2f960056095f843f04b0e.png

图10

3.2

在public目录下创建insfo.php

487120407c63d22e8e9237869bd88a92.png

图11

修改漏洞利用代码,直接在public目录下创建一个名为insfo.php的一句话木马。

63d77b765f899813228dcfe32b62819e.png

图12

3.3

删除insfo.php文件

7ba0034e0a5f8bfb22c26721c5afeb39.png

图13

四、解决方案

直接添加补丁,升级ThinkPHP版本,开启强制路由,在ThinkPHP5.0版本的thinkphp/library/think/App.php , Module类的获取控制名处添加如下代码,正则过滤:

ca84a5d285f6e016aba0878b63b72b91.png

图14

声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
  

闽ICP备14008679号