Channel: CodeSection,代码区,网络安全 - CodeSec

X Mark channel Not-Safe-For-Work? cancel confirm NSFW Votes: (0 votes)

X Are you the publisher? Claim or contact us about this channel.

X 0

Showing article 11644 of 12749 in channel 65166026
Channel Details:

Title: CodeSection,代码区,网络安全 - CodeSec
Channel Number: 65166026
Language: Chinese
Registered On: May 30, 2016, 12:16 am
Number of Articles: 12749
Latest Snapshot: January 4, 2019, 9:28 pm
RSS URL: http://www.codesec.net/feed_16.xml
Publisher: https://www.codesec.net/feed_16.xml
Description: CodeSection,代码区,提供网络安全技术相关文章,含计算机网络安全信息安全及无线网络安全和网络漏洞分析修复
Catalog: //codesec18.rssing.com/catalog.php?indx=65166026

ThinkPHP5.x命令执行漏洞分析

December 12, 2018, 10:38 pm

≫ Next: 报告称无业黑客最高能年赚50万美元靠测试漏洞赚赏金

≪ Previous: iOS 签名机制

0x01 Start

2018.12.10晚上，看到有人发tp5命令执行，第一眼看到poc大致猜到什么原因，后来看到斗鱼src公众号的分析文章。这里分析记录一下。

0x02 简单分析

tp的框架启动不具体说了，这里从App::run开始分析。App.php第116行调用routeCheck函数，该函数返回的内容为：

array(2) { ["type"]=> string(6) "module" ["module"]=> array(3) { [0]=> string(5) "index" [1]=> string(9) "think\app" [2]=> string(14) "invokefunction" } }

在routeCheck调用$request->path();获取兼容模式s传入的模块/控制器/方法

ThinkPHP5.x命令执行漏洞分析

在routeCheck中会读取route.php中的路由并进行匹配传入的路由，不成功会调用Route::parseUrl处理

ThinkPHP5.x命令执行漏洞分析

，在parseUrl函数1226行调用parseUrlPath函数处理模块控制器方法串，使用/分割

ThinkPHP5.x命令执行漏洞分析

parseurl中把parseUrlPath函数返回的数组：

list($path, $var) = self::parseUrlPath($url); $path = array(3) { [0]=> string(5) "index" [1]=> string(10) "\think\app" [2]=> string(14) "invokefunction" } $module = Config::get('app_multi_module') ? array_shift($path) : null; //$module = index $controller = !empty($path) ? array_shift($path) : null; //$controller = \think\app $action = !empty($path) ? array_shift($path) : null; $action = invokefunction 所以这个地方payload s=module/controller/action s = index/think\app/invokefunction controller不使用/而使用\分割成命名空间形式即可，这个地方不要第一个\也可以然后$route = [$module, $controller, $action]; 封装返回
ThinkPHP5.x命令执行漏洞分析

ThinkPHP5.x命令执行漏洞分析

这里往下调用处理路由就结束了，会return上面封装那个数组 array(2) { ["type"]=> string(6) "module" ["module"]=> array(3) { [0]=> string(5) "index" [1]=> string(9) "think\app" [2]=> string(14) "invokefunction" } }

回到App.php 141行进行执行阶段$data = self::exec($dispatch, $config);

ThinkPHP5.x命令执行漏洞分析

type为module，case分支执行：

$data = self::module( $dispatch['module'], $config, isset($dispatch['convert']) ? $dispatch['convert'] : null );

在module函数中578行进行了控制器实例化

ThinkPHP5.x命令执行漏洞分析

在592行进行了函数调用

ThinkPHP5.x命令执行漏洞分析

0x03 3.x系列呢

看完5.x我又跑回去看了3.x，从3.2.3一直找到2.2全部由下图代码

ThinkPHP5.x命令执行漏洞分析

↧

↧

Latest Images

K Kwong：我唔想食紙「紙餐具多有害化學物質、比想像污糟」

K Kwong：我唔想食紙「紙餐具多有害化學物質、比想像污糟」

April 25, 2024, 12:20 am

曹三强牧师：中国奇葩：公安部的证件派出所不买账 ———出狱50天仍旧得不到身份证

曹三强牧师：中国奇葩：公安部的证件派出所不买账 ———出狱50天仍旧得不到身份证

April 24, 2024, 11:10 pm

2024 ASCO全球首发！迪哲医药舒沃哲两项研究入选，国际多中心注册研究将重磅亮相口头报告

2024 ASCO全球首发！迪哲医药舒沃哲两项研究入选，国际多中心注册研究将重磅亮相口头报告

April 24, 2024, 7:10 am

技嘉歐洲OCP峰會大秀ORv3先進散熱解決方案

技嘉歐洲OCP峰會大秀ORv3先進散熱解決方案

April 24, 2024, 5:30 am

響應2048淨零碳排虎科大展示四大永續轉型成果

響應2048淨零碳排虎科大展示四大永續轉型成果

April 23, 2024, 7:34 am

重瓣臭茉莉

April 23, 2024, 7:00 am

台湾花莲县海域发生4.2级地震，震源深度8千米

台湾花莲县海域发生4.2级地震，震源深度8千米

April 23, 2024, 5:51 am

2024 Touch Taiwan智慧顯示展 ASMPT開啟未來顯示技術與應用新篇章

2024 Touch Taiwan智慧顯示展 ASMPT開啟未來顯示技術與應用新篇章

April 22, 2024, 7:51 pm

日內瓦國際發明展得獎名單出爐香港獲逾 350 獎 + 中國 70 項發明獲金獎

日內瓦國際發明展得獎名單出爐香港獲逾 350 獎 + 中國 70 項發明獲金獎

April 22, 2024, 1:30 am

【幻月字幕组】【24年日剧】【白暮的编年史】【04】【1080P】【中日双语】

【幻月字幕组】【24年日剧】【白暮的编年史】【04】【1080P】【中日双语】

April 21, 2024, 9:42 pm

Trending Articles

陸版的小米行車記錄器2 標準版無法連上米家app

December 5, 2020, 12:05 am

【水族達人】【魚缸】JAD《小彎角ㄇ型套缸˙MR-398(鐵灰色)》含上部過濾+LED燈具

July 23, 2016, 9:00 am

1980-1985 美国禁忌 Taboo 1-4，乱轮之王、欧美爱片教母凯·帕克，X级电影终作！

March 3, 2019, 12:59 pm

EFI/UEFI Shell 的常用命令列表 Command list

November 18, 2019, 12:20 am

紐約播種者來生續慈濟緣

January 16, 2016, 4:36 pm

SunsetScreen 1.22 免安裝版 - 電腦螢幕抗藍光軟體類似Flux

July 10, 2015, 6:42 am

【信用卡攻略】7大高薪人仕必備尊尚信用卡

October 12, 2017, 7:00 pm

【漫画推荐】色情！血腥！重口！这些毁三观的漫画你看过吗？

October 21, 2016, 10:00 pm

董事长将不雅视频转公司群美女CEO中招博鰲论坛曝丑闻(图/视频)

March 23, 2019, 3:12 pm

汤唯被删大尺度全裸激情床戏曝光（图）

January 2, 2014, 3:48 pm

告發片商強迫拍AV？ SOD「最強新人」竹内乃愛作品被刪光

February 18, 2018, 5:41 am

DRAM 原理 3 ：DRAM Device

July 27, 2016, 7:12 am

关门一家亲：习远平、张澜澜、徐才厚

December 23, 2020, 10:17 pm

出售: 美國Electro Voice 12寸鋼磁Alnico鈷磁全音全頻喇叭播鄧麗君

January 10, 2019, 12:00 am

暢言教育基金及聖公會林護紀念中學聯合邀請單車騎士激勵學生追随夢想

April 2, 2015, 4:43 am

小學生日記 ~ 愛心媽媽時間之親子勞作~花花小刺蝟

January 3, 2015, 1:54 am

[心得] HoI4 簡單到不行的部分心得

June 20, 2016, 11:34 am

26100.2 系统个性化首页选择要应用的主题“丢失”

April 24, 2024, 1:06 am

中共军队大清洗持续三中全会为何迟迟不开

March 2, 2024, 9:10 am

出售: Goldmund EIDOS 20D (影音寄賣)

November 2, 2017, 12:26 am

More Pages to Explore .....

Latest Images

K Kwong：我唔想食紙「紙餐具多有害化學物質、比想像污糟」

K Kwong：我唔想食紙「紙餐具多有害化學物質、比想像污糟」

April 25, 2024, 12:20 am

曹三强牧师：中国奇葩：公安部的证件派出所不买账 ———出狱50天仍旧得不到身份证

曹三强牧师：中国奇葩：公安部的证件派出所不买账 ———出狱50天仍旧得不到身份证

April 24, 2024, 11:10 pm

2024 ASCO全球首发！迪哲医药舒沃哲两项研究入选，国际多中心注册研究将重磅亮相口头报告

2024 ASCO全球首发！迪哲医药舒沃哲两项研究入选，国际多中心注册研究将重磅亮相口头报告

April 24, 2024, 7:10 am

技嘉歐洲OCP峰會大秀ORv3先進散熱解決方案

技嘉歐洲OCP峰會大秀ORv3先進散熱解決方案

April 24, 2024, 5:30 am

響應2048淨零碳排虎科大展示四大永續轉型成果

響應2048淨零碳排虎科大展示四大永續轉型成果

April 23, 2024, 7:34 am

重瓣臭茉莉

April 23, 2024, 7:00 am

台湾花莲县海域发生4.2级地震，震源深度8千米

台湾花莲县海域发生4.2级地震，震源深度8千米

April 23, 2024, 5:51 am

2024 Touch Taiwan智慧顯示展 ASMPT開啟未來顯示技術與應用新篇章

2024 Touch Taiwan智慧顯示展 ASMPT開啟未來顯示技術與應用新篇章

April 22, 2024, 7:51 pm

日內瓦國際發明展得獎名單出爐香港獲逾 350 獎 + 中國 70 項發明獲金獎

日內瓦國際發明展得獎名單出爐香港獲逾 350 獎 + 中國 70 項發明獲金獎

April 22, 2024, 1:30 am

【幻月字幕组】【24年日剧】【白暮的编年史】【04】【1080P】【中日双语】

【幻月字幕组】【24年日剧】【白暮的编年史】【04】【1080P】【中日双语】

April 21, 2024, 9:42 pm

© 2024 //www.rssing.com