如何進(jìn)行ThinkPHP命令執(zhí)行漏洞的分析

今天就跟大家聊聊有關(guān)如何進(jìn)行ThinkPHP命令執(zhí)行漏洞的分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

漏洞分析

補(bǔ)丁信息：

其補(bǔ)丁的修復(fù)點(diǎn)在method函數(shù)中，var_method常量，在application/config.php中初始化為_method。也就是請(qǐng)求中的POST參數(shù)做了了過濾。
因此，在此函數(shù)中下個(gè)斷點(diǎn)。
觸發(fā)的payload：

首先會(huì)實(shí)例化一個(gè)Request類

由于未設(shè)置調(diào)度信息，則會(huì)進(jìn)入url路由檢測(cè)函數(shù)
self::routeCheck($request, $config)

根據(jù)$request->path()函數(shù)獲得路徑為captcha，然后進(jìn)入路由檢測(cè)函數(shù)check()

在check()函數(shù)中又調(diào)用了method函數(shù)，也就是存在漏洞的函數(shù)。

由于我們輸入的_method 參數(shù)是__construct，因此則會(huì)調(diào)用該函數(shù)進(jìn)行參數(shù)的賦值

method='get',filter[]='system',get[]='whoami'

由于THINKPHP5有自動(dòng)類加載機(jī)制，會(huì)自動(dòng)加載vendor目錄下的一些文件，特別需要注意的就是topthink/think-captcha/src這個(gè)文件夾里有一個(gè)helper.php文件：

這里調(diào)用\think\Route::get函數(shù)進(jìn)行路由注冊(cè)的操作。使得self::rules的值為：  然后回到上文取到rules之后，根據(jù)傳入的URL取得item的值為captcha，使得rules[item]的值為captcha路由數(shù)組，就可以進(jìn)一步調(diào)用到self::parseRule函數(shù)。 由于route的值為\think\captcha\CaptchaController@index，所以最后會(huì)路由到方法，

最終層層返回后，run函數(shù)中的調(diào)用信息$dispatch為：

然后執(zhí)行實(shí)例對(duì)象中param方法：
最終造成命令執(zhí)行。

看完上述內(nèi)容，你們對(duì)如何進(jìn)行ThinkPHP命令執(zhí)行漏洞的分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。