ThinkPHP远程命令执行漏洞原理及复现

2018年12月11日，exploit-db更新了一个thinkphp框架远程代码执行漏洞

exploit地址： https://www.exploit-db.com/exploits/45978

由于框架对控制器名没有进行足够的检测导致在没有开启强制路由的情况下getshell

Thinkphp 5.1.0 - 5.1.31

Thinkphp 5.0.5 - 5.0.23

安装 ：

下载地址http://www.thinkphp.cn/donate/download/id/1125.html

下载完解压在/var/www/html/目录下即可

/thinkphp/library/think/App.php 行数:120

我们可以看到通过self::routerCheck函数进行路由检测

我们可以看到又进入$request->path()函数

/thinkphp/library/think/Request.php 行数:416行

进入pathinfo()函数，继续追踪到384行

Config::get('var_pathinfo')是配置文件中的设置的参数，默认值为s，从GET中获取键值，然后赋值给routeCheck中的$path

我们再回到App.php 行数:606

这里会进行路由检测，检查$check后会进入else分支导入路由配置，接着检测路由url调度结果为$result，如果调度失败且开启了强制路由$must，则报出路由无效，接着进入Route::parseUrl函数，根据$path（自定义url）解析操作

开始跟踪parseUrl函数

/thinkphp/library/think/Route.php 行数:1208

进入parseUrlPath函数 行数:1275

这里我们可以看到对模块/控制器/操作的url地址分割成数组来返回（没截好图有点重了）行数:1217

我们可以看到，返回的结果赋值为$path,提取路由信息又封装到$route,最后返回

thinkphp/library/think/App.php 行数:120

进入self::exec函数 行数:445

我们可以看到模块/控制器/操作 的函数为self::module

开始跟踪module函数 行数:494

我们可以看到，根据$config['app_multi_module']进入多模块部署，$bind为NULL，又进入elseif分支，判断模块是否在禁止的列表里面$config['deny_module_list']，而且mmodule存在，$available = true，就不会抛出异常

module函数最后的返回值，发现$controller没有进行过滤，那么此时应该为think\app，也就是return self::invokeMethod($call, $vars);

进入self::invokeMethod函数 行数:329

最后再调用反射$reflect->invokeArgs($args);，将Payload数组传入反射对象函数invokeFunction，完成代码执行。

至此，ThinkPHP远程代码执行漏洞分析完成

————————————————————————————————————————

远程代码执行命令:whoami（链接后面的whoami可以改成你要执行的命令,特殊符号请进行url转码）

http://xxx.xxx.xxx/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

通过phpinfo函数写出phpinfo的信息