ThinkPHP再爆高危漏洞东森平台提供解决方案

宣布时间 2019-01-13

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache2开源协议宣布，使用面向工具的开发结构和MVC模式，融合了Struts的思想和TagLib（标签库）、RoR的ORM映射和ActiveRecord模式,该框架国内应用非常广泛。

2019年1月11日官方修复了一处严重的漏洞，该漏洞可导致远程命令代码执行。

漏洞影响版本：

5.0.x-5.0.23

漏洞分析：

漏洞主要泛起在ThinkPHPRequest类的method要领中，(thinkphp/library/think/Request.php)

Request类可以实现对HTTP请求的一些设置，其中成员要领method用来获取当前请求类型，其界说如下：

thinkphp支持配置“表单伪装变量”，默认情况下该变量值为_method，可以通过“表单伪装变量”进行变量笼罩实现对该类任意函数的调用，而且$_POST作为函数的参数传入。

Requset结构函数如下：

因此可以通过结构函数实现对Request类属性进行笼罩，如filter属性。结构如下payload实现远程代码执行：

远程代码最终是在filterValue中的call_user_func()执行：

在官网下载的5.0.23完整版中，在App类（thinkphp/library/think/App.php）中module要领增加了设置filter参数值的代码，用于初始化filter。因此通过上述请求设置的filter参数值会被重新笼罩为空导致无法利用。

在5.0.23 Request类中有个param成员函数用于获取当前请求的参数，也有个method函数：