前台RCE
原理分析
触发条件
这篇博客将详细解释前台RCE漏洞的原理。首先,让我们看一下触发这个漏洞的条件。
在 Application/Weibo/Controller/ShareController.class.php 中存在 shareBox 方法,它从GET请求中获取名为 query 的参数值,对其进行解码,然后将解码后的值和相应的关联数组传递给视图模板进行渲染。
接下来,我们观察模板是如何渲染的,位于 Application/Weibo/View/default/Widget/share/sharebox.html 中。它调用了 W 方法,进而调用了 fetchShare 方法,将 $parse_array 的值作为参数传递给这个方法。
再次转到 Thinkphp/common/function.php 中查看 W 方法,它接收 $name 和 $data 两个参数,然后将这些参数传递给 R 方法。
继续查看 R 方法,它根据传入的 $url 参数来远程调用指定模块的控制器操作方法,并传递相应的参数。这个函数通过解析 $url 获取操作方法名称和模块名称,创建控制器对象,调用指定的操作方法,最后返回方法的执行结果。
进一步深入到 /Weibo/Widget/ShareWidget.class.php,查看了 fetchShare 方法,它使用 assignFetch 处理接收的参数,并在其中调用了 D 方法来处理 getInfo()。
再次回到 Thinkphp/common/function.php 中查看 D 方法,它用于实例化类。
最后,我们检查 getInfo() 方法,它接收一个 $param 参数,当 $param 包含 'app'、'model' 和 'method' 这三个键且不为空时,调用 D 方法来实例化类。
接下来,我们将根据实例化的条件来寻找只接收一个参数的Model类。
接收一个$param参数,当$param包含'app'、'model'和'method'这三个键,且不为空时调用D方法实例化类
接下来就得根据实例化的条件去找只接收一个参数的Model类
触发方法
接下来了解触发这个漏洞的方法。
在 /ThinkPHP/Library/Think/Model.class.php 中存在一个 _validationFieldItem 方法,当传入的 $val 可控时,call_user_func_array 方法存在一个RCE漏洞。
call_user_func_array(callable $callback, array $args): mixed
这个函数将第一个参数作为回调函数 callback 调用,并将参数数组 args 作为回调函数的参数传递给它。
可以利用 /Application/Common/Model/ScheduleModel.class.php 中的 runSchedule 方法来触发漏洞。要满足触发条件,'status' 必须等于1
总结一下条件'status'必须等于1,传入的值必须包含'app'、'model'和'method'这三个键
漏洞复现
http://opensns.vul.cn/index.php?s=weibo/Share/shareBox
&query=app=Common%26
model=Schedule%26
method=runSchedule%26
id[status]=1%26
id[method]=Schedule->_validationFieldItem%26
id[4]=function%26
[2][]=%26
id[0]=cmd%26
id[1]=assert%26
id[args]=cmd=system("calc")
P.S.
opensns.vul.cn是本地测试地址,非外网
参考文章
