内容简介:记一次ThinkPHP源码审计
一、写在前面
周末闲得蛋疼,审了一套朋友给的系统,过程挺有意思的,开始的时候觉得基于TP3.0二次开发的系统应该是蛮简单的,毕竟TP爆了很多漏洞。后来发现开发做了不少安全措施。因此记录一下这次审计,当时自己学习的记录吧。
二、后台注入
最开始的时候,因为快吃饭了,就用RIPS扫了扫(事实证明,没有什么毛用)。说是扫到了一个对象注入,然后就看了看代码,大致如下:
$where = unserialize(base64_decode($_REQUEST['_where'])); $result=$m->where($where)->order("id desc")->select();
讲真,这里一眼就能看出来是有个注入的,最简单的方式就是 $_REQUEST['_where']
经过 base64_decode()
-> unserialize()
是字符串,直接就可以注入了。
但是这里到底有没有对象注入呢?我的理解是反序列化导致的对象注入,至少得有对应的魔术方法 __wakeup
或者 __destruct
,并且在魔术方法中有敏感的操作。不仅如此,有时候可能还需要构造POP链,具体参照 这篇文章
。
因此,我搜索了一下对应的两个魔术方法,全文都没有定义,基本上是无解了。
因为后台的漏洞一般都是比较鸡肋的,因此放弃后台漏洞的挖掘,转而移步前台。
二、前台注入
public function Exit() { $res = M('member')->where(array('id'=>$_GET['userid']))->count(); if($res){ echo "1"; }else{ echo "0"; } }
低版本的TP在这里一定是有漏洞的,至于为什么可以看 这篇文章
。然后,我们就可以构造 userid[0]=exp&userid[1]=xxxx'or 1=1#
之类的语句了,事实上这套系统被修改过了,尝试的过程中发现被一个叫 checkPost
的函数过滤了,如下所示:
static private function checkPost() { if( isset($_POST) && is_array($_POST)) { foreach($_POST as $key=>$data){ if(is_array($data)) { self::selfCheck($data); } } } if( isset($_GET) && is_array($_GET)) { foreach($_GET as $key=>$data){ if(is_array($data)) { self::selfCheck($data); } } } } static private function selfCheck($data) { $ary=array('exp','eq','neq','gt','egt','lt','elt','like','notlike','not like','in','notin','not in','between','notbetween','not between'); if(is_array($data)) { if(count($data)>0) { array_map(array('Think','selfCheck'),$data); } } else { if($data!="") { if( in_array(trim(strtolower($data)),$ary) ) { throw_exception("参数有非法参数"); } else { //匹配 not in 、not between、not like preg_match('/^not[\ ]+(in|between|like)$/',trim(strtolower($data)), $matches); if( !empty($matches) ) { throw_exception("参数有非法参数"); } } } } }
也就是说,ThinkPHP中的 exp
等那一波漏洞都不能用了。这就很尴尬了,而且前台可以输入的地方真的不多。
没办法,挨着看有点受不了,就开始搜索 $_GET
、 $_POST
以及 $_REQUEST
之类的全局变量,其实除了这三种方法获取输入,系统还使用了 I
方法(我特么真的是服了, I
方法是TP-3.1.3之后才添加的,这里系统显示的是TP-3.0)。
果不其然,发现了唯一一处字符串拼接的地方
$saleData = M('report')->where("(infoid='{$this->userinfo['id']}' or userid='{$this->userinfo['id']}') and id={$_GET['id']}")->find();
问题到这里就解决了,其实它还用到了 I
方法获取输入, 参考这里
。我看了看,这个完全是TP-3.2的东西啊,最开始应该早就走了弯路。好吧,没有发现字符串拼接的地方。
三、逻辑漏洞
朋友告诉我,这套系统注册的功能关闭了,虽然是前台注入,还是很鸡肋啊。掩面哭泣啊,这种MVC的框架,一般验证登录状态都在父类中做好了。
无奈,看了很久登录验证的问题,没有绕过去。 也就是说,没有登录无法绕过又没有账号是没法注入的
。似乎到现在已经陷入了僵局,此时我看了看网站目录,我发现网站还有个应用 Install
。
如果能够重装也是极好的,因此看了看代码
下面是控制器的代码
if((isset($_REQUEST['step']) ? $_REQUEST['step']:'') !='done' && ACTION_NAME != 'done' && file_exists('./install.lock')){ die('重新安装请删除/Install/install.lock文件'); }
只要我们传递 step=done
就可以绕过构造器了。接着看敏感函数,发现了一个比较有意思的函数 create_admin
,通常在安装程序的时候会有创建管理员这一步,这里居然属性设置为了 public
,二话不说,添加一个管理员账号。
public function create_admin() { //创建超级管理员帐号 $Install = D('Install'); $result = $Install->create_admin($this->langs); if( !$result ) exit( '创建管理员帐号失败' ); echo 'OK'; }
四、命令执行
现在已经拥有后台权限、并且后台可以添加前台用户来进行 SQL 注入。因此现在更加关注的写文件、代码执行、命令执行等等。所以就搜索了一下关键函数,发现一处比较关键的。
function backup(){ $name='新数据备份'; $name = I("post.backname/s")==""?$name:I("post.backname/s"); if(adminshow('cliSwitch')){ //判断Windows还是Linux if(IS_WIN){ $ini = ini_get_all(); $path = $ini['extension_dir']['local_value']; $php_path = str_replace('\\', '/', $path); $php_path = str_replace(array('/ext/', '/ext'), array('/', '/'), $php_path); $real_path = $php_path . 'php.exe'; chdir(ROOT_PATH);//更改当前工作路径 $cmd = $real_path." ".ROOT_PATH."clibr.php Backup backall backname,".$name." >recerr.log"; pclose(popen("start /B ". $cmd, "r")); }else{ chdir(ROOT_PATH); $cmd="php ".ROOT_PATH."clibr.php Backup backall backname,".$name." >recerr.log"; exec($cmd . " &",$out,$re); } $this->ajaxReturn(array(),"正在备份中",0); }else{ $result=$this->backall($name); if($result==""){ $this->ajaxReturn(array(),"备份完成,用时".G('run','end').'秒',1); }else{ $this->ajaxReturn(array(),$result,0); } } }
看了下关键函数 adminshow
,其实就是查看配置文件而已。它检查 ADMIN_SHOW
这个字段中是否含有 cliSwitch
的值,我看了看,默认是没有的;如果有,就会造成字符串拼接导致命令执行漏洞。
function adminshow($shows){ $adminshowss=explode(',',CONFIG('ADMIN_SHOW')); if(in_array($shows,$adminshowss)){ return true; } return false; }
接下来搜索 ADMIN_SHOW
,查看是否有设置这个配置文件的地方,果然有。
public function save(){ $showstrss = ''; foreach($_POST as $k=>$v) { if($k!='LOG_RECORD' && $k!='APP_DEBUG' && $k!='LOG_LEVEL') { $showstrss.=",".$k; } } M()->startTrans(); CONFIG('ADMIN_SHOW',trim($showstrss,",")); }
在这个控制器下面,就可以设置 ADMIN_SHOW
这个键的配置参数了。
五、全局过滤
我发现,在执行命令的时候发现有些参数被过滤了。它配置了 DEFAULT_FILTER
为 htmlspecialchars
, 默认过滤了一些字符
。因此,在命令拼接的时候可以使用 |
或者 ||
,在写文件的时候可以使用 wget
或者 bitsadmin
之类的命令。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- Java代码审计丨某开源系统源码审计
- 对公司内部某个模块某个源码审计
- 某开源博客系统最新版源码审计
- PHP白盒审计工具RIPS源码简析
- 代码审计--源代码审计思路
- 【代码审计】PHP代码审计之CTF系列(1)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。