記一次ThinkPHP原始碼審計
一、寫在前面
週末閒得蛋疼,審了一套朋友給的系統,過程挺有意思的,開始的時候覺得基於TP3.0二次開發的系統應該是蠻簡單的,畢竟TP爆了很多漏洞。後來發現開發做了不少安全措施。因此記錄一下這次審計,當時自己學習的記錄吧。
二、後臺注入
最開始的時候,因為快吃飯了,就用RIPS掃了掃(事實證明,沒有什麼毛用)。說是掃到了一個物件注入,然後就看了看程式碼,大致如下:
$where = unserialize(base64_decode($_REQUEST['_where'])); $result=$m->where($where)->order("id desc")->select();
講真,這裡一眼就能看出來是有個注入的,最簡單的方式就是$_REQUEST['_where']
經過base64_decode()
->unserialize()
是字串,直接就可以注入了。
但是這裡到底有沒有物件注入呢?我的理解是反序列化導致的物件注入,至少得有對應的魔術方法__wakeup
或者__destruct
,並且在魔術方法中有敏感的操作。不僅如此,有時候可能還需要構造POP鏈,具體參照:這篇文章。
因此,我搜索了一下對應的兩個魔術方法,全文都沒有定義,基本上是無解了。
因為後臺的漏洞一般都是比較雞肋的,因此放棄後臺漏洞的挖掘,轉而移步前臺。
二、前臺注入
低版本的TP在這裡一定是有漏洞的,至於為什麼可以看這篇文章。然後,我們就可以構造public function Exit() { $res = M('member')->where(array('id'=>$_GET['userid']))->count(); if($res){ echo "1"; }else{ echo "0"; } }
userid[0]=exp&userid[1]=xxxx'or 1=1#
之類的語句了,事實上這套系統被修改過了,嘗試的過程中發現被一個叫checkPost
的函式過濾了,如下所示:也就是說,ThinkPHP中的static private function checkPost() { if( isset($_POST) && is_array($_POST)) { foreach($_POST as $key=>$data){ if(is_array($data)) { self::selfCheck($data); } } } if( isset($_GET) && is_array($_GET)) { foreach($_GET as $key=>$data){ if(is_array($data)) { self::selfCheck($data); } } } } static private function selfCheck($data) { $ary=array('exp','eq','neq','gt','egt','lt','elt','like','notlike','not like','in','notin','not in','between','notbetween','not between'); if(is_array($data)) { if(count($data)>0) { array_map(array('Think','selfCheck'),$data); } } else { if($data!="") { if( in_array(trim(strtolower($data)),$ary) ) { throw_exception("引數有非法引數"); } else { //匹配 not in 、not between、not like preg_match('/^not[\ ]+(in|between|like)$/',trim(strtolower($data)), $matches); if( !empty($matches) ) { throw_exception("引數有非法引數"); } } } } }
exp
等那一波漏洞都不能用了。這就很尷尬了,而且前臺可以輸入的地方真的不多。沒辦法,挨著看有點受不了,就開始搜尋
$_GET
、$_POST
以及$_REQUEST
之類的全域性變數,其實除了這三種方法獲取輸入,系統還使用了I
方法(我特麼真的是服了,I
方法是TP-3.1.3之後才新增的,這裡系統顯示的是TP-3.0)。果不其然,發現了唯一一處字串拼接的地方
$saleData = M('report')->where("(infoid='{$this->userinfo['id']}' or userid='{$this->userinfo['id']}') and id={$_GET['id']}")->find();
問題到這裡就解決了,其實它還用到了I
方法獲取輸入,參考這裡。我看了看,這個完全是TP-3.2的東西啊,最開始應該早就走了彎路。好吧,沒有發現字串拼接的地方。三、邏輯漏洞
下面是控制器的程式碼朋友告訴我,這套系統註冊的功能關閉了,雖然是前臺注入,還是很雞肋啊。掩面哭泣啊,這種MVC的框架,一般驗證登入狀態都在父類中做好了。
無奈,看了很久登入驗證的問題,沒有繞過去。也就是說,沒有登入無法繞過又沒有賬號是沒法注入的。似乎到現在已經陷入了僵局,此時我看了看網站目錄,我發現網站還有個應用Install
。
如果能夠重灌也是極好的,因此看了看程式碼
if((isset($_REQUEST['step']) ? $_REQUEST['step']:'') !='done' && ACTION_NAME != 'done' && file_exists('./install.lock')){
die('重新安裝請刪除/Install/install.lock檔案');
}
只要我們傳遞step=done
就可以繞過構造器了。接著看敏感函式,發現了一個比較有意思的函式create_admin
,通常在安裝程式的時候會有建立管理員這一步,這裡居然屬性設定為了public
,二話不說,新增一個管理員賬號。public function create_admin()
{
//建立超級管理員帳號
$Install = D('Install');
$result = $Install->create_admin($this->langs);
if( !$result ) exit( '建立管理員帳號失敗' );
echo 'OK';
}
四、命令執行
現在已經擁有後臺許可權、並且後臺可以新增前臺使用者來進行SQL注入。因此現在更加關注的寫檔案、程式碼執行、命令執行等等。所以就搜尋了一下關鍵函式,發現一處比較關鍵的。
function backup(){
$name='新資料備份';
$name = I("post.backname/s")==""?$name:I("post.backname/s");
if(adminshow('cliSwitch')){
//判斷Windows還是Linux
if(IS_WIN){
$ini = ini_get_all();
$path = $ini['extension_dir']['local_value'];
$php_path = str_replace('\\', '/', $path);
$php_path = str_replace(array('/ext/', '/ext'), array('/', '/'), $php_path);
$real_path = $php_path . 'php.exe';
chdir(ROOT_PATH);//更改當前工作路徑
$cmd = $real_path." ".ROOT_PATH."clibr.php Backup backall backname,".$name." >recerr.log";
pclose(popen("start /B ". $cmd, "r"));
}else{
chdir(ROOT_PATH);
$cmd="php ".ROOT_PATH."clibr.php Backup backall backname,".$name." >recerr.log";
exec($cmd . " &",$out,$re);
}
$this->ajaxReturn(array(),"正在備份中",0);
}else{
$result=$this->backall($name);
if($result==""){
$this->ajaxReturn(array(),"備份完成,用時".G('run','end').'秒',1);
}else{
$this->ajaxReturn(array(),$result,0);
}
}
}
看了下關鍵函式adminshow
,其實就是檢視配置檔案而已。它檢查ADMIN_SHOW
這個欄位中是否含有cliSwitch
的值,我看了看,預設是沒有的;如果有,就會造成字串拼接導致命令執行漏洞。function adminshow($shows){
$adminshowss=explode(',',CONFIG('ADMIN_SHOW'));
if(in_array($shows,$adminshowss)){
return true;
}
return false;
}
接下來搜尋ADMIN_SHOW
,檢視是否有設定這個配置檔案的地方,果然有。public function save(){
$showstrss = '';
foreach($_POST as $k=>$v)
{
if($k!='LOG_RECORD' && $k!='APP_DEBUG' && $k!='LOG_LEVEL')
{
$showstrss.=",".$k;
}
}
M()->startTrans();
CONFIG('ADMIN_SHOW',trim($showstrss,","));
}
在這個控制器下面,就可以設定ADMIN_SHOW
這個鍵的配置引數了。
五、全域性過濾
我發現,在執行命令的時候發現有些引數被過濾了。它配置了
DEFAULT_FILTER
為htmlspecialchars
,預設過濾了一些字元。因此,在命令拼接的時候可以使用|
或者||
,在寫檔案的時候可以使用wget
或者bitsadmin
之類的命令