近段时间发现很多APP程序用的是thinkcmf,此程序源码存在getshell漏洞,我们Sine安全
紧急对此高危漏洞进行了分析和漏洞修复,攻击者可以通过构造特定的请求包get请求即可
在远程服务器上执行任意脚本代码。
根据index.php中的配置,项目路径为application,打开 Portal 下的 Controller 目录,选择
一个控制类文件。
发现他的父类为Common\Controller\HomebaseController。
在HomeBaseController中加入如下测试代码
ThinkPHP是一套基于MVC的应用程序框架,被分成三个核心部件:模型(M)、视图(V)
、控制器(C)。
由于添加的代码在控制器中,根据ThinkPHP框架约定可以通过a参数来指定对应的函数名,
但是该函数的修饰符必须为Public, 而添加的代码正好符合该条件。
可以通过如下URL进行访问,并且可以添加GET参数arg1传递给函数。
cmfx-master/?a=test_public&arg1=run%20success
HomeBaseController类中有一些访问权限为public的函数,重点关注display函数.看描述就是
可以自定义加载模版,通过$this->parseTemplate 函数根据约定确定模版路径,如果不符合
原先的约定将会从当前目录开始匹配。
然后调用THinkphp Controller 函数的display方法
/**
* 加载模板和页面输出 可以返回输出内容
* @access public
* @param string $templateFile 模板文件名
* @param string $charset 模板输出字符集
* @param string $contentType 输出类型
* @param string $content 模板输出内容
* @return mixed
*/
public function display($templateFile = '', $charset = '', $contentType = '', $content = '',
$prefix = '') {
parent::display($this->parseTemplate($templateFile), $charset, $contentType,$content
,$prefix);
}
再往下就是调用Think View的fetch方法,这里的TMPL_ENGINE_TYPE 为Think, 最终模版
内容解析在ParseTemplateBehavior中完成
如下调用即可加载任意文件
http://127.0.0.1:81/cmfx-master/?a=display&templateFile=README.md
五、执行漏洞
网站漏洞修复建议
通过此次审计代码发现问题的重点是对display 和 fetch 函数的修饰符模板函数进行修改,如果
对程序代码不熟悉的话建议联系专业的网站安全公司来修复漏洞,国内做的比较专业的如
Sinesafe,绿盟,启明星辰,等等,对此很多app调用此程序的api接口源码,建议大家遇到此问题
首先要进行全面的网站漏洞检测和渗透测试,来达到事先预防此类攻击带来的危害。