ThinkPHP-request函数远程代码执行1

《ThinkPHP请求函数远程代码执行漏洞详解》 在2019年1月11日，ThinkPHP框架被曝出存在一个严重的远程代码执行（RCE）漏洞，该漏洞主要涉及ThinkPHP 5.0.*版本。这个漏洞的根源在于框架处理HTTP请求方法的方式，特别是`isGet`、`isPost`、`isPut`、`isDelete`、`isHead`、`isPatch`以及`isOptions`等函数的实现。 在`library/think/Request.php`文件的第541行到第603行，ThinkPHP处理请求方法的方式存在安全问题。当用户通过HTTP头部的`_method`字段指定请求方法时，如`_method=___construct`，代码会尝试调用与该方法名匹配的类方法，这可能导致任意代码执行。在第8行至第9行，`var_method`变量被设置为`_method`的值，然后在第9行，`$this->{$this->method}($_POST)`会被执行，这使得攻击者可以利用`_method`字段注入构造函数，从而执行任意代码。 深入分析，我们看到在`library/think/Request.php`的第135行至第148行，`$options`数组的每个元素都会被赋值给对象的同名属性。如果`$options`包含了`__construct`，那么它将被解析并执行，进一步加剧了问题的严重性。在第4行，`property_exists`函数用于检查`$options`中的键是否对应类中存在的属性。 此外，`$this->filter`的初始化在`protected function __construct($options = [])`中进行，如果`$this->filter`未定义，它会从配置文件`application/config.php`的`default_filter`获取默认过滤器。在第634行到第661行，`$this->mergeParam`方法的使用，以及`$this->method(true)`的调用，可能会导致服务器请求方法(`REQUEST_METHOD`)被覆盖。而在第862行，`$this->server('REQUEST_METHOD')`用于获取HTTP请求的方法，而这个值可能已经被恶意修改。 在`public function server($name = '', $default = null, $filter = '')`中，`$filter`参数用于指定数据过滤器，如果没有指定，默认情况下会使用配置文件中的`default_filter`。这里如果攻击者能够控制`$filter`，则可能导致过滤机制失效，增加代码执行的风险。 这个漏洞是由于ThinkPHP对HTTP请求方法的不安全处理导致的，允许攻击者通过篡改`_method`字段触发任意方法的执行，尤其是构造函数。修复此漏洞的关键在于正确验证和过滤用户提供的请求参数，避免对不受信任的数据直接执行敏感操作。同时，对框架的配置文件和输入数据进行严格的管理和过滤，也是防止此类漏洞发生的重要措施。