thinkcmfx漏洞太大_ThinkCMFX任意文件包含漏洞（学习）

前言&＃xff1a;最近爆出来的漏洞&＃xff0c;ThinkCmfX版本应该是通杀的&＃xff0c;基于3.X Thinkphp开发的

我们就拿这个payload来进行分析

http://127.0.0.1/index.php?a&＃61;fetch&content&＃61;

我们要知道tp框架的特性&＃xff0c;可以通过这种形式的路由方式进行访问相应的功能点&＃xff0c;例如通过g\m\a参数指定分组\控制器\方法

我们可以跟进父类的fetch的方法中查看

发现还调用了父类的fetch方法return parent::fetch($templateFile,$content,$prefix);&＃xff0c;那我们可以继续来到AppframeController&＃xff0c;但是发现里面没有fetch那么就肯定是继承来自Controller的控制器了&＃xff0c;继续跟进

发现调用了view类的fetch方法继续更&＃xff0c;这里的view类是Controller构造函数中$this->view &＃61; Think::instance(&＃39;Think\View&＃39;);

view类中的fetch方法如下&＃xff1a;

public function fetch($templateFile&＃61;&＃39;&＃39;,$content&＃61;&＃39;&＃39;,$prefix&＃61;&＃39;&＃39;) {

if(empty($content)) { //首先判断content有无内容

$templateFile &＃61; $this->parseTemplate($templateFile);

// 模板文件不存在直接返回

if(!is_file($templateFile)) E(L(&＃39;_TEMPLATE_NOT_EXIST_&＃39;).&＃39;:&＃39;.$templateFile);

}else{

defined(&＃39;THEME_PATH&＃39;) or define(&＃39;THEME_PATH&＃39;, $this->getThemePath());

}

// 页面缓存

ob_start();

ob_implicit_flush(0);

if(&＃39;php&＃39; &＃61;&＃61; strtolower(C(&＃39;TMPL_ENGINE_TYPE&＃39;))) { // 使用PHP原生模板

$_content &＃61; $content;

// 模板阵列变量分解成为独立变量

extract($this->tVar, EXTR_OVERWRITE);

// 直接载入PHP模板

empty($_content)?include $templateFile:eval(&＃39;?>&＃39;.$_content);

}else{

// 视图解析标签

// 走的是这里

$params &＃61; array(&＃39;var&＃39;&＃61;>$this->tVar,&＃39;file&＃39;&＃61;>$templateFile,&＃39;content&＃39;&＃61;>$content,&＃39;prefix&＃39;&＃61;>$prefix); // 生成一个数组赋值给$params

Hook::listen(&＃39;view_parse&＃39;,$params); //这个是关键

}

// 获取并清空缓存

$content &＃61; ob_get_clean();

// 内容过滤标签

Hook::listen(&＃39;view_filter&＃39;,$content);

// 输出模板文件

return $content; //这里进行模板文件的输出

}

可以看注释&＃xff0c;我们的content肯定是有内容的&＃xff0c;那么进行的就是第二个if判断&＃xff0c;经过调式走的是第二个判断

来到这里Hook::listen(&＃39;view_parse&＃39;,$params); //这个是关键&＃xff0c;第一个参数传的是view_parse&＃xff0c;我们先看下listen这个函数的说明

/**

* 监听标签的插件

* &＃64;param string $tag 标签名称

* &＃64;param mixed $params 传入参数

* &＃64;return void

*/

static public function listen($tag, &$params&＃61;NULL) { // 此时$tag &＃61; view_parse

if(isset(self::$tags[$tag])) {

if(APP_DEBUG) {

G($tag.&＃39;Start&＃39;);

trace(&＃39;[ &＃39;.$tag.&＃39; ] --START--&＃39;,&＃39;&＃39;,&＃39;INFO&＃39;);

}

foreach (self::$tags[$tag] as $name) { //循环遍历

APP_DEBUG && G($name.&＃39;_start&＃39;);

$result &＃61; self::exec($name, $tag,$params); // 这里进行执行

if(APP_DEBUG){

G($name.&＃39;_end&＃39;);

trace(&＃39;Run &＃39;.$name.&＃39; [ RunTime:&＃39;.G($name.&＃39;_start&＃39;,$name.&＃39;_end&＃39;,6).&＃39;s ]&＃39;,&＃39;&＃39;,&＃39;INFO&＃39;);

}

if(false &＃61;&＃61;&＃61; $result) {

// 如果返回false 则中断插件执行

return ;

}

}

if(APP_DEBUG) { // 记录行为的执行日志

trace(&＃39;[ &＃39;.$tag.&＃39; ] --END-- [ RunTime:&＃39;.G($tag.&＃39;Start&＃39;,$tag.&＃39;End&＃39;,6).&＃39;s ]&＃39;,&＃39;&＃39;,&＃39;INFO&＃39;);

}

}

return;

}

我们全局搜索&＃xff0c;view_parse或者echo $name输出调试发现调用的类为ParseTemplateBehavior

&＃39;view_parse&＃39; &＃61;> array(

&＃39;Behavior\ParseTemplateBehavior&＃39;, // 模板解析 支持PHP、内置模板引擎和第三方模板引擎

),

在exe函数中 如果类名存在的话会进行实例化 并且调用run方法

if(&＃39;Behavior&＃39; &＃61;&＃61; substr($name,-8) ){

// 行为扩展必须用run入口方法

$class &＃61; $name;

$tag &＃61; &＃39;run&＃39;; //此时的$tag &＃61; run 所以下方调用的是run方法

}else{

$class &＃61; "plugins\\{$name}\\{$name}Plugin";

}

if(class_exists($class)){ //ThinkCMF NOTE 插件或者行为存在时才执行

$addon &＃61; new $class();

return $addon->$tag($params); //相当于 return $addon->run($params);

}

我们再看下ParseTemplateBehavior的类中的run方法

// 行为扩展的执行入口必须是run

public function run(&$_data){

$engine &＃61; strtolower(C(&＃39;TMPL_ENGINE_TYPE&＃39;));

$_content &＃61; empty($_data[&＃39;content&＃39;])?$_data[&＃39;file&＃39;]:$_data[&＃39;content&＃39;];

$_data[&＃39;prefix&＃39;] &＃61; !empty($_data[&＃39;prefix&＃39;])?$_data[&＃39;prefix&＃39;]:C(&＃39;TMPL_CACHE_PREFIX&＃39;);

if(&＃39;think&＃39;&＃61;&＃61;$engine){ // 采用Think模板引擎

if((!empty($_data[&＃39;content&＃39;]) && $this->checkContentCache($_data[&＃39;content&＃39;],$_data[&＃39;prefix&＃39;]))

|| $this->checkCache($_data[&＃39;file&＃39;],$_data[&＃39;prefix&＃39;])) { // 缓存有效

//载入模版缓存文件

Storage::load(C(&＃39;CACHE_PATH&＃39;).$_data[&＃39;prefix&＃39;].md5($_content).C(&＃39;TMPL_CACHFILE_SUFFIX&＃39;),$_data[&＃39;var&＃39;]);

//C(&＃39;CACHE_PATH&＃39;).$_data[&＃39;prefix&＃39;].md5($_content).C(&＃39;TMPL_CACHFILE_SUFFIX&＃39;),$_data[&＃39;var&＃39;]地址为

//D:\QMDownload\PHPTutorial\www\thinkcmfx2\data\runtime\Cache\Portal

}else{

$tpl &＃61; Think::instance(&＃39;Think\\Template&＃39;); //走的是这里

// 编译并加载模板文件

$tpl->fetch($_content,$_data[&＃39;var&＃39;],$_data[&＃39;prefix&＃39;]);

}

}else{

// 调用第三方模板引擎解析和输出

if(strpos($engine,&＃39;\\&＃39;)){

$class &＃61; $engine;

}else{

$class &＃61; &＃39;Think\\Template\\Driver\\&＃39;.ucwords($engine);

}

if(class_exists($class)) {

$tpl &＃61; new $class;

$tpl->fetch($_content,$_data[&＃39;var&＃39;]);

}else { // 类没有定义

E(L(&＃39;_NOT_SUPPORT_&＃39;).&＃39;: &＃39; . $class);

}

}

}

当payload为上面的时候走的是else语句中的&＃xff0c;我们可以去看下Think\Template的类

public function fetch($templateFile,$templateVar,$prefix&＃61;&＃39;&＃39;) {

$this->tVar &＃61; $templateVar; // tvar &＃61; $_data[&＃39;var&＃39;]

$templateCacheFile &＃61; $this->loadTemplate($templateFile,$prefix);

//echo $templateCacheFile;

Storage::load($templateCacheFile,$this->tVar,null,&＃39;tpl&＃39;);

}

它的fetch方法如下

public function fetch($templateFile,$templateVar,$prefix&＃61;&＃39;&＃39;) {

$this->tVar &＃61; $templateVar; // tvar &＃61; $_data[&＃39;var&＃39;]

$templateCacheFile &＃61; $this->loadTemplate($templateFile,$prefix); //$templateFile为$_content

//echo $templateCacheFile;

Storage::load($templateCacheFile,$this->tVar,null,&＃39;tpl&＃39;);

}

其中loadTemplate方法如下传入的参数为$templateFile&＃xff0c;其实也就是$_content

public function loadTemplate ($templateFile,$prefix&＃61;&＃39;&＃39;) {

if(is_file($templateFile)) {

$this->templateFile &＃61; $templateFile;

// 读取模板文件内容

$tmplContent &＃61; file_get_contents($templateFile);

}else{

$tmplContent &＃61; $templateFile;

}

// 根据模版文件名定位缓存文件

$tmplCacheFile &＃61; $this->config[&＃39;cache_path&＃39;].$prefix.md5($templateFile).$this->config[&＃39;cache_suffix&＃39;];

// 判断是否启用布局

if(C(&＃39;LAYOUT_ON&＃39;)) {

if(false !&＃61;&＃61; strpos($tmplContent,&＃39;{__NOLAYOUT__}&＃39;)) { // 可以单独定义不使用布局

$tmplContent &＃61; str_replace(&＃39;{__NOLAYOUT__}&＃39;,&＃39;&＃39;,$tmplContent);

}else{ // 替换布局的主体内容

$layoutFile &＃61; THEME_PATH.C(&＃39;LAYOUT_NAME&＃39;).$this->config[&＃39;template_suffix&＃39;];

// 检查布局文件

if(!is_file($layoutFile)) {

E(L(&＃39;_TEMPLATE_NOT_EXIST_&＃39;).&＃39;:&＃39;.$layoutFile);

}

$tmplContent &＃61; str_replace($this->config[&＃39;layout_item&＃39;],$tmplContent,file_get_contents($layoutFile));

}

}

// 编译模板内容

$tmplContent &＃61; $this->compiler($tmplContent);

Storage::put($tmplCacheFile,trim($tmplContent),&＃39;tpl&＃39;);

return $tmplCacheFile;

}

倒数第二句调用了put方法&＃xff0c;Storage::put($tmplCacheFile,trim($tmplContent),&＃39;tpl&＃39;);&＃xff0c;其中put和load方法同存的有File.class.php类文件,走到File.class.php类文件

public function put($filename,$content,$type&＃61;&＃39;&＃39;){

$dir &＃61; dirname($filename);

if(!is_dir($dir)){

mkdir($dir,0777,true);

}

if(false &＃61;&＃61;&＃61; file_put_contents($filename,$content)){ //这里的内容可控

E(L(&＃39;_STORAGE_WRITE_ERROR_&＃39;).&＃39;:&＃39;.$filename);

}else{

$this->contents[$filename]&＃61;$content;

return true;

}

}

if(false &＃61;&＃61;&＃61; file_put_contents($filename,$content)) //这里的内容可控,然后写入缓存文件&＃xff0c;最后调用Storage::load加载cache文件包含文件&＃xff0c;最终导致代码执行

public function load($_filename,$vars&＃61;null){

if(!is_null($vars)){

extract($vars, EXTR_OVERWRITE);

}

include $_filename; //进行包含文件的操作

}

转自freebuf的流程图如下&＃xff1a;