前言

ThinkPHP,是為了簡化企業(yè)級應(yīng)用開發(fā)和敏捷WEB應(yīng)用開發(fā)而誕生的開源輕量級PHP框架。隨著框架代碼量的增加，一些潛在的威脅也逐漸暴露，本文給大家?guī)淼氖菍hinkphp5版本框架里面的文件包含漏洞進行分析，淺談原理以及如何應(yīng)用。

什么是文件包含漏洞

首先我們先了解一下什么是文件包含漏洞，文件包含可以分為本地包含和遠程包含，有些時候網(wǎng)站會將文件進行包含來執(zhí)行，這屬于是常規(guī)操作，但若網(wǎng)站并沒有對包含文件進行限制，攻擊者便可以包含一些惡意文件來達到命令執(zhí)行的效果。這里列出四個常見的PHP包含函數(shù)：

漏洞簡述

在該框架中，由于在加載模版解析變量時存在變量覆蓋問題，但像上面所說的一樣沒有對信息進行過濾，從而框架中產(chǎn)生了文件包含漏洞。影響版本如下：

5.0.0 <= Thinkphp <= 5.0.18

5.1.0 <= ThinkPHP <= 5.1.10

漏洞復現(xiàn)

首先我們先搭建一個存在該漏洞的框架版本：

配置好服務(wù)后我們開始進行代碼審計，首先先在application/index/controller/Index.php路徑下修改代碼：

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
    public function index()
    {
        $this->assign(request()->get());
        return $this->fetch(); // 當前模塊/默認視圖目錄/當前控制器（小寫）/當前操作（小寫）.html
    }
}

之后在路徑application/index/view/index/ 下創(chuàng)建html模板文件，之后便可以進行分析：

我們根據(jù)上面代碼：

public function index()
    {
        $this->assign(request()->get());
        return $this->fetch(); 
    }

跟進至assign函數(shù)，后繼續(xù)跟進：

我們審計到library/think/View.php下，分析下面的代碼：

里面有一個arrar_merge()函數(shù)，我們簡單看一下如何應(yīng)用：

可以看到該函數(shù)起到一個合并數(shù)組的作用，賦值后跟進到fetch,直到下面圖片這個位置：

我們這里有一段代碼：

$this->engine->$method($template, $vars, $config);

我們跟進method值在view\driver\Think.php,跟進fetch后再跟進read方法，最后走到了template\driver\File.php，這里有一段代碼：

extract($vars, EXTR_OVERWRITE);

同時下面還有一個文件包含函數(shù)，因為之前有個vars變量是用戶進行g(shù)et傳入的，也就是說變量可控，經(jīng)過 $this->data 走到了read，而這里面有個extract函數(shù)可以實現(xiàn)變量覆蓋：

而它的規(guī)則如下：

若第二個參數(shù)值不指定（默認EXTR_OVERWRITE）可能存在變量覆蓋的，覆蓋變量后再進行文件包含惡意文件。這里簡單測試下，我們在public下傳入圖片木馬之后（里面寫入了查詢phpinfo信息的代碼）進行訪問：

public/?cacheFile=1.jpg

成功實現(xiàn)了文件包含：

修復

對于如何修復也是十分簡潔的，get傳參里是否有cachefile鍵，有的話就刪掉，也刪掉_think_cachefile鍵，然后文件包含即可防止該漏洞的產(chǎn)生。

結(jié)語

本文簡單講述了thinkphp5框架中常見的文件包含漏洞及其應(yīng)用，不知道小伙伴們學會了沒有，有興趣的朋友可以自己手動搭建一個平臺來進行滲透測試，更多關(guān)于Thinkphp5文件包含漏洞的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論