可以看到将数据存入了成员变量data中，当传入数组时使用array_merge与data进行合并。

再看\think\Controller:fetch方法

调用了\think\View:fetch，代码如下

其中默认视图引擎为Think，在fetch方法调用了\think\view\driver\Think:fetch进行模板渲染

在最后调用了\think\Template:fetch来渲染模板

其中最关键的部分是$this->storage->read($cacheFile, $this->data); 此处读取编译好的模板并进行显示。Storage默认为File，代码在\think\template\driver\File:read

解析变量时使用EXTR_OVERWRITE，导致有可能覆盖掉cacheFile，从而实现任意文件包含。回顾前面的流程可以知道vars中的值由三部分组成：视图静态变量、\think\Controller:assign赋值的数据、\think\Controller:fetch或display赋值的数据。由于在assign或fetch/display中可以传入数组，且后续操作未对数组的键名进行改变，从而可以传递[‘cachFile’=>’filetoinclude’]类似形式的数据来进行变量覆盖。

0x04 漏洞测试

漏洞原理： fetch渲染模块里中存在EXTR_OVERWRITE ，可能变量覆盖。
触发条件：assign($arr)中数组键名可控，或assign($key, $value)中$key可控。

poc:            cacheFile=../README.md

使用composer安装thinkphp5最新源码，修改Index控制器内容，并创建相应的视图模板app/index/view/index/index.html内容随意。

在POST数据中提交cacheFile=../README.md，成功包含项目目录下的README.md文件。

当服务器开启allow_url_include时，可直接包含php://input执行任意代码。注意：php://input获取的是原始POST数据，不要对提交的代码进行urlencode，否则无法执行代码。

0x05 案例

由于官方框架未对此问题进行处理，且在文档中也并未提醒开发者传入模板的数据需要过滤。部分开发者使用assign方法不当，导致了漏洞的发生。此处以thinkcmf为例。

该项目在后台设置中多次出现了此问题，以其中一处进行说明。代码在\app\admin\controller\SettingController

在upload中使用cmf_get_upload_setting读取上传配置进行显示，在uploadPost中获取POST数据通过cmf_set_option进行保存。

先看cmf_set_option的代码

从数据库中读取原有配置并json_decode，与现配置进行合并再json_encode后写回数据库。并在写入数据库后删除了相应的缓存。再看cmf_get_upload_setting

其中通过cmf_get_option读取数据库中的配置，不存在时则使用默认配置。再看cmf_get_option如何获取配置

首先会从缓存中读取，如果缓存中不存在则从数据库中读取，然后再写入缓存。回顾uploadPost的设置流程，可以传入自定义键名的数组，从而在upload中传入模板的数据其键名可控，从而可以实现变量覆盖。

登录后台，点击设置=》上传设置。点击保存，抓包后修改

再次点击上传设置，成功加载README.md

0x06 番外

作为开发者不应该盲目信任框架，对于不太了解的功能谨慎使用。而作为攻击者，传统的web后门极易被查杀，可以考虑利用应用程序的特性来制作后门。这样能够极大的增加后门被查杀的难度。