阅读：

10,272

1月11日，ThinkPHP官方发布新版本5.0.24，在1月14日和15日又接连发布两个更新，这三次更新都修复了一个安全问题，该问题可能导致远程代码执行 ，这是ThinkPHP近期的第二个高危漏洞，两个漏洞均是无需登录即可远程触发，危害极大。

0x01 概述

1月11日，ThinkPHP官方发布新版本5.0.24，在1月14日和15日又接连发布两个更新，这三次更新都修复了一个安全问题，该问题可能导致远程代码执行 ，这是ThinkPHP近期的第二个高危漏洞，两个漏洞均是无需登录即可远程触发，危害极大。

公告

0x02 影响版本ThinkPHP 5.0.x ~ 5.0.23

ThinkPHP 5.1.x ~ 5.1.31

ThinkPHP 5.2.0beta1

0x03 环境搭建

选择5.0.22完整版和5.1.31版本进行复现分析

0x04 漏洞分析

一、5.0.x版本

我们知道可以通过http://127.0.0.1/public/index.php?s=index的方式通过s参数传递具体的路由，具体调用如下

index.phprequire __DIR__ . '/../thinkphp/start.php';

start.phpApp::run()->send();

跟进run()方法

可以看到在进入self::exec($dispatch, $config)前，$dispatch的值是通过

$dispatch = self::routeCheck($request, $config)

设置的，这时候如果debug模式开启，就会调用$request->param()，也就是下面exec()中会调用到的函数，经过下面分析就能发现，在debug模式开启时就能直接触发漏洞，原理是一样的。

进入exec()方法看一下：

exec()方法根据$dispatch的值选择进入不同的分支，当进入method分支时，调用Request::instance()->param()方法，跟进param()，看到调用了Request类的method()方法 ：

其中method()方法就是补丁修改的位置，在这个方法中，如果method等于true，则调用$this->server()方法：

在server()方法中调用$this->input方法：

接着调用了filterValue()方法：

而filterValue()则调用了call_user_func()函数，如果两个参数均可控，则会造成命令执行：

此时的调用栈如下：

回头看一下$filter和$value参数从哪里来：$filter：$filter = $filter ?: $this->filter;

在getFilter()中设置了$filter值：$filter = $filter ?: $this->filter;

也即由$this->filter决定$value

$value为第一个参数$data，即为传入数组的值，由$this->server决定

所以最终的问题就是如何从请求中传入$this->filter和$this->server这两个值，构造call_user_func()的参数触发漏洞。

回到最开始的run()方法，其中：$dispatch = self::routeCheck($request, $config);

$dispatch 的值通过routeCheck()方法设置，跟进routeCheck()方法：

调用了check()方法：

check()方法中根据不同的$rules值返回不同的结果，而$rules的值由$method决定，$method则由$request->method()返回值取小写获得，所以再次回到$request->method()方法，这次没有参数

如果$method不等于true，则会取配置选项var_method，该值为_method

然后调用$this->{$this->method}($_POST);语句，此时假设我们控制了$method的值，也就意味着可以调用Request类的任意方法，而当调用构造方法__construct()时，就可以覆盖Request类的任意成员变量，也就是上面分析的$this->filter和$this->server两个值，同时也可以覆盖$this->method，直接指定了check()方法中的$method值。

1. 构造PoC

首先要主动触发Request类的构造函数，通过参数_method=__construct传入，进入到__construct方法，该方法把参数遍历并设置值：

所以我们可以传入filter=system来设置$this->filter的值此处filter不是数组也可以，因为在getFilter()中虽然对filter是字符串的情况进行了按,分割，但是传入一个值的情况下不影响最终的返回值

再看$this->server，在调用$this->server('REQUEST_METHOD')时指定了键值，所以通过传入server数组即可

server[REQUEST_METHOD]=id

然后我们注意到上面check()方法，

$rules = isset(self::$rules[$method]) ? self::$rules[$method] : [];

它的返回值由$rules决定，而$rules的值取决于键值$method，当我们指定$method为get时，可以正确获取到路由信息，从而通过checkRoute()检查，此时我们通过指定method=get覆盖$this->method的值即可

最终的PoC：

_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=id

调用栈如下图所示

2. 流程图

整个漏洞的调用流程图如下所示：

二、5.1.x/5.2.x版本

在5.1和5.2版本上，这个变量覆盖依然存在，我们同样可以通过_method参数覆盖var_method，并最终执行到Request::input()方法，通过array_walk_recursive把传入的数组传给回调函数filterValue，最终也是在filterValue中完成命令执行，具体调用如下

当传入_method参数为filter时，覆盖了Request原始的filter成员，在经过路由检查进入Request::instance()->param()方法时，经过$this->method(true)调用，返回的$method值为POST，于是进入post分支，调用input()方法，由于第一个参数为空，返回我们传入的post值

然后把数组合并到$this->param，接着再次调用input()方法，经过$this->getFilter返回filter值，由于此时$data是一个数组(即$this->param)，于是进入if分支，经过array_walk_recursive()函数把数组传给回调函数filterValue，遍历键值后同样由call_user_func完成命令执行if (is_array($data)) {

array_walk_recursive($data, [$this, 'filterValue'], $filter);

if (version_compare(PHP_VERSION, '7.1.0', '

// 恢复PHP版本低于 7.1 时 array_walk_recursive 中消耗的内部指针

$this->arrayReset($data);

}

} else {

$this->filterValue($data, $name, $filter);

}

1. 构造PoCa=system&b=id&_method=filter

需要在程序加入忽略异常提示：error_reporting(0);

调用栈如图

2. 流程图

5.1.x版本的漏洞调用流程图如下所示：

0x05 补丁分析

在三个版本的更新补丁中，限制了$this->method为GET，POST，DELETE，PUT，PATCH这几个方法，因此不能从外部传入方法名再调用Request类的任意方法或是覆盖原有变量。

补丁链接：

0x06 总结

这三漏洞本质上都是变量覆盖漏洞，在一处存在缺陷的方法中没有对用户输入做严格判断，通过传递_method参数覆盖了配置文件的_method，导致可以访问Request类的任意函数，而在Request的构造函数中又创建了恶意的成员变量，导致后面的命令执行；而在5.1和5.2版本中则是直接覆盖了过滤器，在忽略运行异常的情况下会触发漏洞，整个利用链可以说是非常巧妙了。

关于伏影实验室

伏影实验室专注于安全威胁研究与监测技术，包括但不限于威胁识别技术，威胁跟踪技术，威胁捕获技术，威胁主体识别技术。研究目标包括：僵尸网络威胁，DDOS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁 及 新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。