在一次偶然的機(jī)會發(fā)現(xiàn)公司某個網(wǎng)站存在thinkphp的遠(yuǎn)程命令執(zhí)行漏洞，自此對這個漏洞愛不釋手。這究竟是為什么呢?主要原因有2點：如果網(wǎng)站存在這個漏洞，我們可以去執(zhí)行各種各樣的系統(tǒng)命令來進(jìn)行測試觀察，尤其要是還有管理員權(quán)限就更舒服了;第二點，只要發(fā)現(xiàn)對應(yīng)版本的thinkphp，漏洞利用步驟較為簡單。(主要還是筆者太懶，hhh!!!)關(guān)于這個漏洞分析筆者就不在這里獻(xiàn)丑了，主要是介紹下如何來去挖掘這個漏洞，以及筆者相關(guān)的一些思路。希望能給剛?cè)氚踩Φ男氯艘稽c靈感。

漏洞簡介

在2018年12月9日，thinkphp官方發(fā)布了一個重要的安全更新，修復(fù)了一個嚴(yán)重的遠(yuǎn)程命令執(zhí)行漏洞。此次更新主要涉及到一個安全更新，由于框架對控制器名沒有進(jìn)行足夠的檢測會導(dǎo)致在沒有開啟強(qiáng)制路由的情況下可能的getshell漏洞，受影響的版本兒包括5.0(< 5.0.23)和5.1(< 5.1.31)版本兒。

漏洞特性

這個特性可以說是大部分thinkphp框架的特性，在其網(wǎng)站url后輸入一個不存在的路徑，頁面會報錯，顯示該網(wǎng)站一些配置信息以及thinkphp的版本兒，如圖：

輸入該網(wǎng)站一個不存在的路徑11，或者是一些不存在的文件也可例如:11.php,11.txt。此時頁面會報錯，拋出異常，如圖：

此時我們可以看到該網(wǎng)站的一些敏感配置信息比如網(wǎng)站路徑，當(dāng)然我比較感興趣的還是這個thinkphp框架的版本，如圖所示thinkphp版本兒清楚可見，看到這里可能大佬們就知道我接下來干啥了。

漏洞復(fù)現(xiàn)

筆者感覺自己這個漏洞利用的方式還是比較簡單粗暴的，初始也是抱著試一試的想法，也沒想到就成功了。

首先打開百度，然后搜索引擎內(nèi)輸入 “thinkphp5.0漏洞”，看到很多大佬的分析，隨便點開一個鏈接,拿走大佬寫好的payload。(當(dāng)然這個paylaod自己也要根據(jù)實際情況做一點小改變，根據(jù)頁面多觀察幾次來進(jìn)行改動。如果網(wǎng)站漏洞已經(jīng)修復(fù)了再去測試肯定不會成功了。)

開始漏洞復(fù)現(xiàn)：

利用system函數(shù)遠(yuǎn)程命令執(zhí)行

payload:http://xxx.com/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 如圖

我們不難看出當(dāng)前網(wǎng)站確實存在并且能夠執(zhí)行系統(tǒng)命令，后面的測試方法就比較大眾化了，容筆者稍微說下，各位看官一看就懂：

• 首先看下自己當(dāng)前權(quán)限是否是管理員權(quán)限，如果是再好不過，不然后面還得想方法進(jìn)行提權(quán)。(emm出現(xiàn)thinkphp漏洞已經(jīng)很不應(yīng)該了，如果這里再是管理員權(quán)限的話，網(wǎng)站的管理員老哥應(yīng)該好好反省下了)
• 然后再上傳一句話木馬，菜刀鏈接，基本到這就差不多了。(不要隨便操作哦)
• 通過相關(guān)平臺將此漏洞告訴相關(guān)廠商。(xx不規(guī)范，牢底坐到穿)

漏洞分析

這里不是原理分析哈，只是筆者一點淺薄的看法和經(jīng)驗。

筆者發(fā)現(xiàn)thinkphp框架搭好以后，頁面有如下圖所示的一些字體。

然后又通過觀察之前所構(gòu)造的payload : http://xxx.com/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

想到谷歌搜索引擎強(qiáng)大的搜索功能 ，于是構(gòu)造語句“ thinkphp十年磨一劍 inurl:index.php”(說實話結(jié)果我也是嚇了一跳，)

搜到大量使用該框架的網(wǎng)站，而且通過鐘馗之眼一類的搜索引擎通過搜索 “十年磨一劍 – 為API開發(fā)設(shè)計的高性能框架 [ V5.0+版本由+七牛云+獨家贊助發(fā)布+]”也能搜索到大量此類網(wǎng)站。

據(jù)此可見有很多網(wǎng)站再使用thinkphp 5.0這一版本兒框架，可能搜到的這些網(wǎng)站有一些管理員已經(jīng)修復(fù)該版本兒漏洞，但是應(yīng)當(dāng)還會有一大部分管理員仍未曾修復(fù)該漏洞。(想必這點大家都會想到，而且會有黑客用此類方法批量拿站)

觀點

通過thinkphp 這一版本兒漏洞，筆者想到其實蠻多的。

• 一些cms網(wǎng)站的漏洞挖掘方式其實和筆者所提到的thinkphp漏洞挖掘的方式還是比較一致的，都有某些方面的特征，比如版本號，url組成等等。這類通用型漏洞在利用其來技術(shù)門檻相對較低，比如筆者通過信息收集發(fā)現(xiàn)大量類似網(wǎng)站，一旦爆發(fā)危害蠻大，之前很多的事件兒都說明了這個問題。(這個漏洞挖掘指的是別人已經(jīng)發(fā)布過的漏洞，而不是去挖掘還未曾發(fā)現(xiàn)的漏洞)
• 很多網(wǎng)站的管理者(中小型網(wǎng)站)都不具備安全意識，等到安全問題一旦爆發(fā)悔之晚矣。往往出現(xiàn)這類漏洞(出現(xiàn)很長時間卻沒修復(fù)的漏洞)的網(wǎng)站一般是中小型網(wǎng)站，當(dāng)然大點兒的網(wǎng)站可能也有，但是相較于這類網(wǎng)站就少了。
• 人是安全的尺度這句話不假，管理網(wǎng)站的是人，但是往往安全和可用性又是相對的，無法去追求過度的安全，這就造成了一些漏洞的存在其實是在所難免的。即便這個網(wǎng)站的管理者能夠想到很多很多問題，但是可能某一天他也會犯一些失誤，或者配置失誤或者刪庫，不要以為刪庫這種騷操作不會出現(xiàn)在自己身上。

emm希望有一天出現(xiàn)一個啥絕對的安全，這樣我們就能愉快的轉(zhuǎn)行，各位大佬和同僚也能實現(xiàn)自己的夢想，開超市的開超市，賣煎餅果子的賣煎餅果子 。。。。。若干年后又是一段傳奇啊hhhh!!!

建議

漏洞修復(fù)建議：該版本兒thinkphp漏洞(大部分漏洞修復(fù)方式)修復(fù)最簡單的修復(fù)方式就是升級到新版本，打補(bǔ)丁，或者進(jìn)行手動修復(fù)等等。

當(dāng)然還有一個問題也需要進(jìn)行修復(fù)，就是筆者前面所說輸入一個不存在的路徑或文件頁面會拋出很多系統(tǒng)相關(guān)信息以及路徑，一旦和該網(wǎng)站別的漏洞相結(jié)合后患無窮。

關(guān)于相關(guān)搜索引擎網(wǎng)站應(yīng)該加以限制。

希望以上東西能夠幫到大家。