ThinkPHP5核心類Request遠端程式碼漏洞分析

摘要： 一、漏洞介紹 2019年1月11日，ThinkPHP團隊釋出了一個補丁更新，修復了一處由於不安全的動態函式呼叫導致的遠端程式碼執行漏洞。該漏洞危害程度非常高，預設條件下即可執行遠端程式碼。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進行原始碼分析和驗證後，確認具體受影響的版本...

一、漏洞介紹

2019年1月11日，ThinkPHP團隊釋出了一個補丁更新，修復了一處由於不安全的動態函式呼叫導致的遠端程式碼執行漏洞。該漏洞危害程度非常高，預設條件下即可執行遠端程式碼。啟明星辰ADLab安全研究員對ThinkPHP的多個版本進行原始碼分析和驗證後，確認具體受影響的版本為ThinkPHP5.0-5.0.23完整版。

二、漏洞復現

本地環境採用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache進行復現。安裝環境後執行POC即可執行系統命令，如圖：

三、漏洞分析

以官網下載的5.0.22完整版進行分析， 首先定位到漏洞關鍵點：

thinkphp/library/think/Request.php:518

在method函式的第二個if分支中，引入了一個外部可控的資料$_POST[Config::get[‘var_method’]。而var_method的值為_method。

Request類的__construct函式如下：

由於$options引數可控，攻擊者可以覆蓋該類的filter屬性、method屬性以及get屬性的值。而在Request類的param函式中：

當$this->mergeParam為空時，這裡會呼叫$this->get(false)。跟蹤$this->get函式：

該函式末尾呼叫了$this->input函式，並將$this->get傳入，而$this->get的值是攻擊者可控的。跟蹤$this->input函式：

該函式呼叫了$this->getFileter取得過濾器。函式體如下：

$this->filter的值是攻擊者通過呼叫建構函式覆蓋控制的，將該值返回後將進入到input函式:

檢視filterValue函式如下：

在call_user_func函式的呼叫中，$filter可控，$value可控。因此，可致程式碼執行。

漏洞觸發流程：

從ThinkPHP5的入口點開始分析：

thinkphp/library/think/App.php:77

run函式第一行便例項化了一個Request類，並賦值給了$request。然後呼叫routeCheck($request,$config)：

這裡呼叫Route::check進行路由檢測。函式如下：

注意紅色字型部分。對應開頭的第一個步驟，也就是呼叫method函式進行變數覆蓋。這裡需要覆蓋的屬性有$this->filter,$this->method,$this->get。因為$request->method()的返回值為$this->method，所以該值也需要被控制。這裡返回值賦值給了$method，然後取出self::$rules[$method]的值給$rules。這裡需要注意：THINKPHP5有自動類載入機制，會自動載入vendor目錄下的一些檔案。但是完整版跟核心版的vendor目錄結構是不一樣的。

完整版的目錄結構如下：

而核心版的目錄結構如下：

可以看到完整版比核心版多出了幾個資料夾。特別需要注意的就是think-captcha/src這個資料夾裡有一個helper.php檔案：

這裡呼叫\think\Route::get函式進行路由註冊的操作。而這步操作的影響就是改變了上文提到的self::$rules的值。有了這個路由，才能進行RCE，否則不成功。這也就是為什麼隻影響完整版，而不影響核心版的原因。此時的self::$rules的值為:

那麼，當攻擊者控制返回的$method的值為get的時候，$rules的值就是這條路由的規則。然後回到上文取到$rules之後，根據傳入的URL取得$item的值，使得$rules[$item]的值為captcha路由陣列，就可以進一步呼叫到self::parseRule函式。函式體略長，這裡取關鍵點：

此時傳遞進來的$route的值為\think\captcha\CaptchaController@index。因此進入的是標註紅色的if分支中。在這個分支中，$result的’type’鍵對應的值為‘method’。然後將$result層層返回到run函式中，並賦值給了$dispatch。

然後將$dispatch帶入到self::exec函式中：

進入到紅色標註的分支，該分支呼叫Request類的param方法。因此，滿足了利用鏈的第三步，造成命令執行。

啟明星辰ADLab安全研究員對ThinkPHP5.0-5.0.23每個版本都進行了分析，發現ThinkPHP5.0.2-5.0.23可以使用同一個POC，而ThinkPHP5.0-5.0.1需要更改一下POC，原因在於Route.php的rule函式的一個實現小差異。

ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235，將$type轉換成了大寫：

在ThinkPHP5.0.2-5.0.23版本中，rule函式中卻將$type轉換成了小寫：

四、補丁分析

在ThinkPHP5.0.24中，增加了對$this->method的判斷，不允許再自由呼叫類函式。