Thinkphp框架filter參數漏洞解析

時間：2019-05-24 00:00:00 | 來源：

漏洞介紹

CNNVD編號：CNNVD-201812-489

漏洞介紹鏈接

noneCms github issue

nonecms的作者通過升級 thinkphp 框架的版本把漏洞修復了

查看 thinkphp/library/think/App.php 這個文件的修改歷史可以發現

更新框架前是5.1.0

const VERSION = '5.1.0';

更新框架后是5.1.31

const VERSION = '5.1.31 LTS';

漏洞修復

漏洞出現在 NoneCMS/thinkphp/library/think/route/dispatch/Url.php 文件中的parseUrl方法里

 // 解析模塊
$module=$this->app->config('app_multi_module') ? array_shift($path) : null;
if($this->param['auto_search']){
$controller=$this->autoFindController($module, $path);
}else{
 // 解析控制器
$controller=!empty($path) ? array_shift($path) : null;
}
 // 解析操作
$action=!empty($path) ? array_shift($path) : null;
 // 解析額外參數
if($path){
if($this->app['config']->get('url_param_type')){
$var+=$path;
}else{
preg_replace_callback('/(w+)|([^|]+)/', function($match)use(&$var){
$var[$match[1]]=strip_tags($match[2]);
}, implode('|', $path));
}
}

為了修復漏洞，thinkphp官方添加了新的代碼

if($this->param['auto_search']){
$controller=$this->autoFindController($module, $path);
}else{
 // 解析控制器
$controller=!empty($path) ? array_shift($path) : null;
}
/**** 加入了這段代碼 ****
        if ($controller && !preg_match('/^[A-Za-z](w|.)*$/', $controller)) {
            throw new HttpException(404, 'controller not exists:' . $controller);
        }
        **** 加入了這段代碼 ****/
 // 解析操作
$action=!empty($path) ? array_shift($path) : null;

具體修改歷史可以在以下鏈接找到

Url.php 修改歷史

概括地說，就是把library/think/route/dispatch/Module.php 的代碼移動到 library/think/route/dispatch/Url.php

$controller變量的校驗代碼經過多次改進之后，變成下面這個樣子

if($controller&&!preg_match('/^[A-Za-z][w|.]*$/', $controller)){
thrownewHttpException(404, 'controller not exists:' . $controller);
}

[A-Za-z][w|.]* 這個正則表達式的含義是 $controller 的第一個字符是字母A-Za-z。 [w|.] 匹配 a-zA-Z0-9_ 和 .。例如可以匹配 a.b.abc123..，所以嚴格來說，這個正則表達式不是特別準確。

漏洞運行

如果上面這段 $controller 變量的校驗代碼去掉并訪問下面類似的鏈接，就會復現之前的漏洞。

   http://xxx.com/NoneCms/public/?s=index/thinkRequest/input&filter=phpinfo&data=1

這時候變量 $controller 等于 thinkRequest

當執行到文件 NoneCMS/thinkphp/library/think/Request.php 中的代碼的時候， $filter = "phpinfo", $value = 1

privatefunctionfilterValue(&$value, $key, $filters)
{
$default=array_pop($filters);
foreach($filtersas$filter){
if(is_callable($filter)){
 // 調用函數或者方法過濾
$value=call_user_func($filter, $value);

等于執行了以下代碼，這樣php運行環境的敏感信息就泄露了。適當構造URL參數就可以實現更多攻擊和破解操作。

$filter="phpinfo";
$value=1;
call_user_func($filter, $value);

總結

調用call_user_func函數時，要進行參數校驗。
對于 HTTP GET 請求里的參數盡可能使用嚴格的正則表達式進行校驗。

本文轉自：http://blog.hexccc.com

原文地址：http://blog.hexccc.com/thinkphp-filter-code-vulnerability/

本文地址：

http://www.quxiaomian.com/security/2019052435.html

上一篇：什么是CDN加速？為什么要給客戶做CDN加速

下一篇：服務器選Linux還是 Windows?

更多內容推薦：

網站性能優化：如何進行網站性能優化，方法是什么

網站安全防護：企業網站如何防止被攻擊，防御方法是什么

免費企業網絡入侵檢測（IDS）工具介紹

服務器應該如何做日常維護，方法是什么

網站防止被黑入侵的方法是什么，如何做網站安全防護

網站安全：網站http與https的區別是什么

專欄最新閱讀：

微信開發解決方案：醫藥原料貿易中的加密訂單系統如何保護客戶采購隱私

微信小程序如何重塑會展活動管理？展商名錄與觀眾預約的智慧化解決方案

微信開發公司：微信積分系統如何助力企業實現綠色采購轉型？

微信開發公司：食品添加劑企業如何借力企業微信社群打造行業認證影響力？

企業微信對接庫存系統：汽配經銷商的區域代理管理智能化升級介紹

微信開發賦能飼料原料批發，自動化報價系統如何破解大宗交易定價難題？

更多文章閱讀請至：技術專欄

Tips: 為您提供微信開發、H5開發、微信小程序開發、微信定制開發、網站開發、小程序商城開發、SEO網站優化、視頻后期制作等定制化開發服務