ThinkPHP5核心類別Request遠端程式碼漏洞分析-php教程-PHP中文網

首頁

後端開發

php教程

ThinkPHP5核心類別Request遠端程式碼漏洞分析

藏色散人

Mar 21, 2019 pm 03:34 PM

thinkphp5漏洞分析

一、漏洞介紹

2019年1月11日，ThinkPHP團隊發布了一個修補程式更新，修復了一處由於不安全的動態函數呼叫而導致的遠端程式碼執行漏洞。此漏洞危害程度非常高，預設條件下即可執行遠端程式碼。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進行源碼分析與驗證後，確認特定受影響的版本為ThinkPHP5.0-5.0.23完整版。

二、漏洞重現

本機環境採用ThinkPHP 5.0.22完整版 PHP5.5.38 Apache進行複現。安裝環境後執行POC即可執行系統指令，如圖：

ThinkPHP5核心類別Request遠端程式碼漏洞分析

#三、漏洞分析

ThinkPHP5核心類別Request遠端程式碼漏洞分析

以官網下載的5.0.22完整版進行分析，首先定位到漏洞關鍵點：

thinkphp/library/think/Request.php:518

在method函數的第二個if分支中，引入了一個外部可控的資料$_POST[Config::get ['var_method']。而var_method的值為_method。

Request類別的__construct函數如下：

#由於$options參數可控，攻擊者可以覆寫該類別的filter屬性、method屬性以及get屬性的值。而在Request類別的param函數中：

當$this->mergeParam為空時，這裡會呼叫$this->get(false)。追蹤$this->get函數：

該函數最後呼叫了$this->input函數，並將$this->get傳入，而$this->get的值是攻擊者可控的。追蹤$this->input函數：

該函數呼叫了$this->getFileter取得過濾器。函數體如下：$this->filter的值是攻擊者透過呼叫建構函式覆寫控制的，將該值傳回後將進入input函數:

檢視filterValue函數如下：

在call_user_func函數的呼叫中，$filter可控，$value可控。因此，可致程式碼執行。

漏洞觸發流程：

##從ThinkPHP5的入口點開始分析：

thinkphp/library/think/App.php:77

run函數第一行便實例化了一個Request類，並且賦值給了$request。然後呼叫routeCheck($request,$config)：

ThinkPHP5核心類別Request遠端程式碼漏洞分析這裡呼叫Route::check進行路由偵測。函數如下：

注意紅色字體部分。對應開頭的第一個步驟，也就是呼叫method函數進行變數覆蓋。這裡需要涵蓋的屬性有$this->filter,$this->method,$this->get。因為$request->method()的回傳值為$this->method，所以該值也需要被控制。這裡回傳值賦值給了$method，然後取出self::$rules[$method]的值給$rules。這裡要注意：THINKPHP5有自動類別載入機制，會自動載入vendor目錄下的一些檔案。但是完整版跟核心版的vendor目錄結構是不一樣的。

完整版的目錄結構如下： ThinkPHP5核心類別Request遠端程式碼漏洞分析

而核心版的目錄結構如下： ThinkPHP5核心類別Request遠端程式碼漏洞分析

可以看到完整版比核心版多出了幾個資料夾。特別要注意的就是think-captcha/src這個資料夾裡有一個helper.php檔： ThinkPHP5核心類別Request遠端程式碼漏洞分析

#這裡呼叫\think\Route::get函數進行路由註冊的操作。而這步驟操作的影響就是改變了上文提到的self::$rules的值。有了這個路由，才能進行RCE，否則不成功。這也就是為什麼只影響完整版，而不影響核心版的原因。此時的self::$rules的值為:

######那麼，當攻擊者控制回傳的$method的值為get的時候，$rules的值就是這條路由的規則。然後回到上文取到$rules之後，根據傳入的URL取得$item的值，使得$rules[$item]的值為captcha路由數組，就可以進一步呼叫到self::parseRule函數。函數體略長，這裡取關鍵點：######此時傳遞進來的$route的值為\think\captcha\CaptchaController@index。因此進入的是標註紅色的if分支中。在這個分支中，$result的’type’鍵對應的值為‘method’。然後將$result層層傳回run函數中，並賦值給了$dispatch。 ######然後將$dispatch帶入self::exec函數：###

進入到紅色標註的分支，該分支呼叫Request類別的param方法。因此，滿足了利用鏈的第三步，造成命令執行。

啟明星辰ADLab安全研究員對ThinkPHP5.0-5.0.23每個版本都進行了分析，發現ThinkPHP5.0.2-5.0.23可以使用同一個POC，而ThinkPHP5.0-5.0.1需要更改一下POC，原因在於Route.php的rule函數的一個實現小差異。

ThinkPHP5.0-5.0.1版的thinkphp/library/think/Route.php:235，將$type轉換成大寫：

ThinkPHP5核心類別Request遠端程式碼漏洞分析

#在ThinkPHP5.0.2-5.0.23版本中，rule函數中卻將$type轉換成了小寫：

四、補丁分析

###在ThinkPHP5.0.24中，增加了對$this->method的判斷，不允許再自由呼叫類別函數。 ##################五、結論##########強烈建議用戶升級到ThinkPHP5.0.24版本，並且不要開啟debug模式，以免遭受攻擊。 ######相關推薦：《###PHP教學###》###

以上是ThinkPHP5核心類別Request遠端程式碼漏洞分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：52bug。如有侵權，請聯絡admin@php.cn刪除

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。

PHP中的弱參考是什麼？什麼時候有用？Apr 12, 2025 am 12:13 AM

在PHP中，弱引用是通過WeakReference類實現的，不會阻止垃圾回收器回收對象。弱引用適用於緩存系統和事件監聽器等場景，需注意其不能保證對象存活，且垃圾回收可能延遲。

解釋PHP中的__ Invoke Magic方法。Apr 12, 2025 am 12:07 AM

\_\_invoke方法允許對象像函數一樣被調用。 1.定義\_\_invoke方法使對象可被調用。 2.使用$obj(...)語法時，PHP會執行\_\_invoke方法。 3.適用於日誌記錄和計算器等場景，提高代碼靈活性和可讀性。

解釋PHP 8.1中的纖維以進行並發。Apr 12, 2025 am 12:05 AM

Fibers在PHP8.1中引入，提升了並發處理能力。 1)Fibers是一種輕量級的並發模型，類似於協程。 2)它們允許開發者手動控制任務的執行流，適合處理I/O密集型任務。 3)使用Fibers可以編寫更高效、響應性更強的代碼。

PHP社區：資源，支持和發展Apr 12, 2025 am 12:04 AM

PHP社區提供了豐富的資源和支持，幫助開發者成長。 1)資源包括官方文檔、教程、博客和開源項目如Laravel和Symfony。 2)支持可以通過StackOverflow、Reddit和Slack頻道獲得。 3)開發動態可以通過關注RFC了解。 4)融入社區可以通過積極參與、貢獻代碼和學習分享來實現。