ThinkPHP 5.1.x~5.2.x全版本 RCE 漏洞分析

测试版本：Thinkphp_5.1.1

补丁：https://github.com/top-think/framework/commit/2454cebcdb6c12b352ac0acd4a4e6b25b31982e6

需要在入口文件处关闭报错。

payload

在获取应用调度信息时会调用Request类的method方法获取当前的请求类型

且 $this->config->get('var_method') 外部可控，即 $this->method 我们可控，从而我们可以通过 $this->{$this->method}($_POST) 调用任意方法。

跟进 filter 方法，发现我们post的数据可以覆盖 $this->filter 属性。

回到App类，由于我们开启了 $this->debug 从而可以进入 Request 类的 param 方法。

跟进 param 方法， $this->param 为 当前请求参数和URL地址中的参数合并 。然后进入 input 方法。

查阅 array_walk_recursive 函数可知，该函数会调用 $this->filterValue 函数，把 $data 数组的每个值作为其第一个参数，键名作为第二个参数，并且把 $this->filter 作为第三个参数。

继续跟进 filterValue 方法，发现调用了 call_user_func($filter, $value) ， $filter 为刚开始我们覆盖的 $this->filter 属性的遍历键值，等于 $_POST 数组。 $value 为 当前请求参数和URL地址中的参数合并 数组 $this->param 的键值。

当遍历到 $this->param 的第二个键值 calc.exe 和 $filters 的第一个键值 exec 时，成功执行命令，弹出了计算器。