ThinkPHP5核心类Request远程代码漏洞分析

藏色散人

发布时间：2019-03-21 15:34:16

3394人浏览过

来源于52bug

转载

一、漏洞介绍

2019年1月11日，ThinkPHP团队发布了一个补丁更新，修复了一处由于不安全的动态函数调用导致的远程代码执行漏洞。该漏洞危害程度非常高，默认条件下即可执行远程代码。启明星辰ADLab安全研究员对ThinkPHP的多个版本进行源码分析和验证后，确认具体受影响的版本为ThinkPHP5.0-5.0.23完整版。

二、漏洞复现

本地环境采用ThinkPHP 5.0.22完整版+PHP5.5.38+Apache进行复现。安装环境后执行POC即可执行系统命令，如图：

立即学习“PHP免费学习笔记（深入）”；

三、漏洞分析

以官网下载的5.0.22完整版进行分析，首先定位到漏洞关键点：

thinkphp/library/think/Request.php:518

在method函数的第二个if分支中，引入了一个外部可控的数据$_POST[Config::get[‘var_method’]。而var_method的值为_method。

Request类的__construct函数如下：

由于$options参数可控，攻击者可以覆盖该类的filter属性、method属性以及get属性的值。而在Request类的param函数中：

当$this->mergeParam为空时，这里会调用$this->get(false)。跟踪$this->get函数：

该函数末尾调用了$this->input函数，并将$this->get传入，而$this->get的值是攻击者可控的。跟踪$this->input函数：

该函数调用了$this->getFileter取得过滤器。函数体如下：

$this->filter的值是攻击者通过调用构造函数覆盖控制的，将该值返回后将进入到input函数:

查看filterValue函数如下：

在call_user_func函数的调用中，$filter可控，$value可控。因此，可致代码执行。

漏洞触发流程：

从ThinkPHP5的入口点开始分析：

thinkphp/library/think/App.php:77

run函数第一行便实例化了一个Request类，并赋值给了$request。然后调用routeCheck($request,$config)：

这里调用Route::check进行路由检测。函数如下：

注意红色字体部分。对应开头的第一个步骤，也就是调用method函数进行变量覆盖。这里需要覆盖的属性有$this->filter,$this->method,$this->get。因为$request->method()的返回值为$this->method，所以该值也需要被控制。这里返回值赋值给了$method，然后取出self::$rules[$method]的值给$rules。这里需要注意：THINKPHP5有自动类加载机制，会自动加载vendor目录下的一些文件。但是完整版跟核心版的vendor目录结构是不一样的。

完整版的目录结构如下：

GoEnhance

全能AI视频制作平台：通过GoEnhance AI让视频创作变得比以往任何时候都更简单。

下载

而核心版的目录结构如下：

可以看到完整版比核心版多出了几个文件夹。特别需要注意的就是think-captcha/src这个文件夹里有一个helper.php文件：

这里调用\think\Route::get函数进行路由注册的操作。而这步操作的影响就是改变了上文提到的self::$rules的值。有了这个路由，才能进行RCE，否则不成功。这也就是为什么只影响完整版，而不影响核心版的原因。此时的self::$rules的值为:

那么，当攻击者控制返回的$method的值为get的时候，$rules的值就是这条路由的规则。然后回到上文取到$rules之后，根据传入的URL取得$item的值，使得$rules[$item]的值为captcha路由数组，就可以进一步调用到self::parseRule函数。函数体略长，这里取关键点：

此时传递进来的$route的值为\think\captcha\CaptchaController@index。因此进入的是标注红色的if分支中。在这个分支中，$result的’type’键对应的值为‘method’。然后将$result层层返回到run函数中，并赋值给了$dispatch。

然后将$dispatch带入到self::exec函数中：

进入到红色标注的分支，该分支调用Request类的param方法。因此，满足了利用链的第三步，造成命令执行。

启明星辰ADLab安全研究员对ThinkPHP5.0-5.0.23每个版本都进行了分析，发现ThinkPHP5.0.2-5.0.23可以使用同一个POC，而ThinkPHP5.0-5.0.1需要更改一下POC，原因在于Route.php的rule函数的一个实现小差异。

ThinkPHP5.0-5.0.1版本的thinkphp/library/think/Route.php:235，将$type转换成了大写：

在ThinkPHP5.0.2-5.0.23版本中，rule函数中却将$type转换成了小写：

四、补丁分析

在ThinkPHP5.0.24中，增加了对$this->method的判断，不允许再自由调用类函数。

五、结论

强烈建议用户升级到ThinkPHP5.0.24版本，并且不要开启debug模式，以免遭受攻击。

相关专题

thinkphp和laravel哪个简单

对于初学者来说，laravel 的入门门槛较低，更易上手，原因包括：1. 更简单的安装和配置；2. 丰富的文档和社区支持；3. 简洁易懂的语法和 api；4. 平缓的学习曲线。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

374

2024.04.10

thinkphp性能怎么样

thinkphp 是一款高性能的 php 框架，具备缓存机制、代码优化、并行处理和数据库优化等优势。官方性能测试显示，它每秒可处理超过 10,000 个请求，实际应用中被广泛用于京东商城、携程网等大型网站和企业系统。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

322

2024.04.10

if什么意思

if的意思是“如果”的条件。它是一个用于引导条件语句的关键词，用于根据特定条件的真假情况来执行不同的代码块。本专题提供if什么意思的相关文章，供大家免费阅读。

775

2023.08.22

点击input框没有光标怎么办

点击input框没有光标的解决办法：1、确认输入框焦点；2、清除浏览器缓存；3、更新浏览器；4、使用JavaScript；5、检查硬件设备；6、检查输入框属性；7、调试JavaScript代码；8、检查页面其他元素；9、考虑浏览器兼容性。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

185

2023.11.24

apache是什么意思

Apache是Apache HTTP Server的简称，是一个开源的Web服务器软件。是目前全球使用最广泛的Web服务器软件之一，由Apache软件基金会开发和维护，Apache具有稳定、安全和高性能的特点，得益于其成熟的开发和广泛的应用实践，被广泛用于托管网站、搭建Web应用程序、构建Web服务和代理等场景。本专题为大家提供了Apache相关的各种文章、以及下载和课程，希望对各位有所帮助。

410

2023.08.23

apache启动失败

Apache启动失败可能有多种原因。需要检查日志文件、检查配置文件等等。想了解更多apache启动的相关内容，可以阅读本专题下面的文章。

931

2024.01.16

Python 自然语言处理（NLP）基础与实战

本专题系统讲解 Python 在自然语言处理（NLP）领域的基础方法与实战应用，涵盖文本预处理（分词、去停用词）、词性标注、命名实体识别、关键词提取、情感分析，以及常用 NLP 库（NLTK、spaCy）的核心用法。通过真实文本案例，帮助学习者掌握使用 Python 进行文本分析与语言数据处理的完整流程，适用于内容分析、舆情监测与智能文本应用场景。

2026.01.27