报告编号:B6-2018-121101
报告来源:360-CERT
报告作者:360-CERT
更新日期:2018-12-11
0x00 事件背景
2018-12-10 ThinkPHP5系列发布安全更新,该安全更新修复了一处严重漏洞,该漏洞可导致(php/系统)代码执行。
由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞
0x01 影响范围
ThinkPHP 5.x
- 5.1.x ~ 5.1.31
- 5.0.x ~ 5.0.23
0x02 修复建议
官方在更新公告中的修复方案是
如果暂时无法更新到最新版本,请开启强制路由并添加相应未定义路由,或者参考commit的修改 增加相关代码。
0x03 漏洞验证
0x04 漏洞分析
在实际分析中,tp的结构和源码在各个分支版本中变化较大。此处仅以5.0.20
版本的源代码作为示例进行分析
thinkphp/library/think/App.php
此处则是更新公告里提及的,由于默认情况下是不执行严格路由检测的,所以这里$result
和$must
都为false
,所以不会抛出路由无效的异常,而会继续向下执行
再通过parseUrl
->parseUrlPath
的解析封装好后返回
根据上述代码不难看出,tp在处理路由的过程中,使用了Config::get('var_pathinfo')
来作为接收处理pathinfo
,而这个值在默认情况下为s
,那么就会形成一个调用过程:index.php?s=index/\namespace\class/method
经过初始化和处理后,如果你传递的path
合理,那么经过check后是会返回为一个module
,并且在接下来的exec
处理中就会针对其做对应处理
module
中进行controller
的处理这里就会抵达一个关键的函数getModuleAndClass
如果执行返回的$class
存在就会直接通过invokeClsas
对这个class
进行实例化
等待controller
实例化完成后
只要满足该controller
的action
可以被调用,那么就会开始针对这个action
实现调用
通过invokeMethod
进行构建出的class进行调用
调用至invokeFunction
完成整个函数的调用执行后返回执行结果
至此该漏洞在5.0.20
的一种命令执行的方式已经实现。
0x05 时间线
2018-12-10 ThinkPHP官方发布公告
2018-12-11 360CERT发布预警分析