ThinkPHP5核心類Request遠(yuǎn)程代碼漏洞分析-魔扣目錄

一、漏洞介紹

2019年1月11日，Thinkphp團隊發(fā)布了一個補丁更新，修復(fù)了一處由于不安全的動態(tài)函數(shù)調(diào)用導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞危害程度非常高，默認(rèn)條件下即可執(zhí)行遠(yuǎn)程代碼。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進行源碼分析和驗證后，確認(rèn)具體受影響的版本為ThinkPHP5.0-5.0.23完整版。

二、漏洞復(fù)現(xiàn)

本地環(huán)境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache進行復(fù)現(xiàn)。安裝環(huán)境后執(zhí)行POC即可執(zhí)行系統(tǒng)命令，如圖：

三、漏洞分析

以官網(wǎng)下載的5.0.22完整版進行分析，首先定位到漏洞關(guān)鍵點：

thinkphp/library/think/Request.php:518

在method函數(shù)的第二個if分支中，引入了一個外部可控的數(shù)據(jù)$_POST[Config::get[‘var_method’]。而var_method的值為_method。

Request類的__construct函數(shù)如下：

由于$options參數(shù)可控，攻擊者可以覆蓋該類的filter屬性、method屬性以及get屬性的值。而在Request類的param函數(shù)中：

當(dāng)$this->mergeParam為空時，這里會調(diào)用$this->get(false)。跟蹤$this->get函數(shù)：

該函數(shù)末尾調(diào)用了$this->input函數(shù)，并將$this->get傳入，而$this->get的值是攻擊者可控的。跟蹤$this->input函數(shù)：

該函數(shù)調(diào)用了$this->getFileter取得過濾器。函數(shù)體如下：

$this->filter的值是攻擊者通過調(diào)用構(gòu)造函數(shù)覆蓋控制的，將該值返回后將進入到input函數(shù):

查看filterValue函數(shù)如下：

在call_user_func函數(shù)的調(diào)用中，$filter可控，$value可控。因此，可致代碼執(zhí)行。

漏洞觸發(fā)流程：

從ThinkPHP5的入口點開始分析：

thinkphp/library/think/App.php:77

run函數(shù)第一行便實例化了一個Request類，并賦值給了$request。然后調(diào)用routeCheck($request,$config)：

這里調(diào)用Route::check進行路由檢測。函數(shù)如下：

注意紅色字體部分。對應(yīng)開頭的第一個步驟，也就是調(diào)用method函數(shù)進行變量覆蓋。這里需要覆蓋的屬性有$this->filter,$this->method,$this->get。因為$request->method()的返回值為$this->method，所以該值也需要被控制。這里返回值賦值給了$method，然后取出self::$rules[$method]的值給$rules。這里需要注意：THINKPHP5有自動類加載機制，會自動加載vendor目錄下的一些文件。但是完整版跟核心版的vendor目錄結(jié)構(gòu)是不一樣的。

完整版的目錄結(jié)構(gòu)如下：

而核心版的目錄結(jié)構(gòu)如下：

可以看到完整版比核心版多出了幾個文件夾。特別需要注意的就是think-captcha/src這個文件夾里有一個helper.php文件：

這里調(diào)用thinkRoute::get函數(shù)進行路由注冊的操作。而這步操作的影響就是改變了上文提到的self::$rules的值。有了這個路由，才能進行RCE，否則不成功。這也就是為什么只影響完整版，而不影響核心版的原因。此時的self::$rules的值為:

那么，當(dāng)攻擊者控制返回的$method的值為get的時候，$rules的值就是這條路由的規(guī)則。然后回到上文取到$rules之后，根據(jù)傳入的URL取得$item的值，使得$rules[$item]的值為captcha路由數(shù)組，就可以進一步調(diào)用到self::parseRule函數(shù)。函數(shù)體略長，這里取關(guān)鍵點：

此時傳遞進來的$route的值為thinkcaptchaCaptchaController@index。因此進入的是標(biāo)注紅色的if分支中。在這個分支中，$result的’type’鍵對應(yīng)的值為‘method’。然后將$result層層返回到run函數(shù)中，并賦值給了$dispatch。

然后將$dispatch帶入到self::exec函數(shù)中：

進入到紅色標(biāo)注的分支，該分支調(diào)用Request類的param方法。因此，滿足了利用鏈的第三步，造成命令執(zhí)行。

啟明星辰ADLab安全研究員對ThinkPHP5.0-5.0.23每個版本都進行了分析，發(fā)現(xiàn)ThinkPHP5.0.2-5.0.23可以使用同一個POC，而ThinkPHP5.0-5.0.1需要更改一下POC，原因在于Route.php的rule函數(shù)的一個實現(xiàn)小差異。

ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235，將$type轉(zhuǎn)換成了大寫：