一 、前言
Thinkphp是為了簡化企業(yè)級應用開發(fā)和敏捷WEB應用開發(fā)而誕生的輕量級PHP開發(fā)框架,具有免費開源、快速、簡單且面向對象等特點。
在ThinkPHP的5.*版本中存在安全隱患,由于ThinkPHP5框架對控制器名沒有進行足夠的安全檢測,導致在沒有開啟強制路由的情況下,可能出現(xiàn)getshell漏洞。受影響的版本包括5.0和5.1。
本期安仔課堂,ISEC實驗室的黃老師將為大家介紹ThinkPHP5的相關知識點,歡迎感興趣的朋友一起交流學習。
二、漏洞分析
該漏洞源于ThinkPHP5框架底層對控制器名過濾不嚴,允許黑客通過url調(diào)用Thinkphp框架內(nèi)部的敏感函數(shù),出現(xiàn)getshell漏洞。具體代碼實現(xiàn)如下:
圖1
2.1
thinkphp/library/think/App.php
首先看到routecheck代碼,由于沒有在配置文件上定義任何路由,所以默認按照圖一的方式進行解析調(diào)度。如果開啟強制路由模式,會直接拋出錯誤,這時通過Route::import命令加載路由,繼續(xù)跟進路由。
圖2
2.2
thinkphp/library/think/Route.php
可以看到tp5在解析URL的時候只是將URL按分割符分割,并沒有進行安全檢測。繼續(xù)分析:
圖3
其中,滲透測試人員最為關心的是Exchange對外提供的訪問接口,以及使用的加密驗證類型。
2.3
thinkphp/library/think/App.php
可以看到:由于程序并未對控制器進行有效的安全過濾和檢查,因此測試人員可以通過引用“”來調(diào)用任意方法。
圖4
2.4
跟進到module方法
圖5
在測試時注意使用一個已存在的module,否則會拋出異常,無法繼續(xù)運行。此處直接從之前的解析結果中獲取控制器名稱以及操作名,無任何安全檢查。
圖6
2.5
跟進到實例化Loader 控制器方法
圖7
可以看到如果控制器名中有“”,就直接返回。回到“thinkphp/library/think/App.php”的module方法,正常情況下應該獲取到對應控制器類的實例化對象,而我們現(xiàn)在得到了一個“thinkApp”的實例化對象,通過url調(diào)用其任意的public方法,同時解析url中的額外參數(shù),當作方法的參數(shù)傳入。我們可以調(diào)用invokeFunction這個方法,構造payload為:
圖8
三、漏洞利用
所有基于tp5.0框架建設的網(wǎng)站都受此漏洞的影響。
3.1
測試該漏洞點是否被修復
圖9
網(wǎng)址后面直接拼接以上代碼,執(zhí)行之后發(fā)現(xiàn)出現(xiàn)phpinfo頁面,說明漏洞存在。
圖10
3.2
在public目錄下創(chuàng)建insfo.php
圖11
修改漏洞利用代碼,直接在public目錄下創(chuàng)建一個名為insfo.php的一句話木馬。
圖12
3.3
刪除insfo.php文件
圖13
四、解決方案
直接添加補丁,升級ThinkPHP版本,開啟強制路由,在ThinkPHP5.0版本的thinkphp/library/think/App.php , Module類的獲取控制名處添加如下代碼,正則過濾:
圖14
