阿里云报告:ThinkPHP5远程代码执行高危漏洞

最新推荐文章于 2024-06-12 15:25:33 发布
最新推荐文章于 2024-06-12 15:25:33 发布
阅读量1.5k 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DanyYan/article/details/84974019
版权

 

阿里云报个漏洞需要修复,验证后还给出了URL地址,需要修复一下,可利用 下面的代码在执行模块解析时把它抛个错误。

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);}

我的thinkphp5.0,在app.php中module方法中。

DanyYan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp远程代码执行exp
07-29
thinkphp远程代码执行漏洞的exp,版本通用,带检查,上传等功能。
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
tp5漏洞
qq_33538528的博客
04-22 2640
1.更改thinkphp/library/think/app.php    找到module函数在获取控制器名的代码下边添加一下代码 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not ex...
php被挂马,近日报网站被挂马的解决方法
weixin_29554849的博客
03-12 593
核心框架为ThinkPHP5.0版本的:在think\App类的module方法的获取控制器的代码后面加上if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }最终效果// 获取控制器名$contro...
【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案
最新发布
2401_83062893的博客
06-12 1363
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。XAMPP是最流行的PHP开发环境,XAMPP是完全免费且易于安装的Apache发行版,其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易,它以其广泛的应用范围在本地开发和测试领域备受赞誉。官网地址:https://www.apachefriends.org/zh_cn/index.html。
ThinkPHP5 远程代码执行
LYJ20010728的博客
08-16 2434
这里写目录标题漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生 漏洞影响版本: 5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30 初始配置 获取测试环境代码 composer create-project --prefer-dist topthink
Thinkphp5.0.23远程命令执行
Cover-3321的博客
01-03 2050
thinkphp远程命令执行漏洞 php的一个开发框架,5,0.23及以前的版本中,获取method的方法中没有正确处理方法 名,导致攻击者可以调用request类任意方法,构造payload,导致远程命令执行
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8451
ThinkPHP5系列远程代码执行漏洞复现(详细)
ThinkPHP5 5.0.23 远程执行代码,2.x 任意代码执行,5 5.0.22/5.1.29 远程执行代码
m0_67284865的博客
08-16 262
ThinkPHP5 5.0.23 远程执行代码,2.x 任意代码执行,5 5.0.22/5.1.29 远程执行代码
ThinkPHP5远程代码执行(CNVD-2018-24942)
ANOrange的博客
04-03 557
ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。本文包含POC和ThinkPHP漏洞利用工具
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
热门推荐
dabao87的博客
12-12 2万+
漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 &lt; 5.0.23 ThinkPHP 5.1系列 &lt; 5.1.31 安全版本 ThinkPHP 5.0系列 5.0.23 ThinkPHP 5.1系列 5.1.31 ...
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 585
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞
阿里云Thinkphp5以上版本漏洞修复方法
Andy ` 勋章的博客
12-24 1797
1.ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞 解决方案: 在think\App类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exis...
tp5.0.7 修复getshell漏洞
bj123467的博客
04-05 1322
PHPTutorial\WWW\tp5.0.7\thinkphp\library\think\App.php 358行左右 module 方法中 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' ...
ThinkPHP5 5.0.23远程代码执行漏洞+webshell工具连接(复现详细过程)
m0_52701599的博客
03-17 3178
ThinkPHP5 5.0.23远程代码执行漏洞+webshell工具连接(复现详细过程)
ThinkPHP 5.0.* 修复安全漏洞
qq_38358436的博客
01-23 196
原因 https://s.tencent.com/research/report/607.html?client=tim&amp;ADUIN=1376109662&amp;ADSESSION=1548207737&amp;ADTAG=CLIENT.QQ.5597_.0&amp;ADPUBNO=26881 官方修复方法 https://blog.thinkp...
威胁快报| ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截 ...
测试0901-1
12-20 376
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析。现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响。 此次漏洞ThinkPHP v5框架代码问...
阿里云ECS服务器提示高危漏洞问题的处理方式(Linux)
EastChilde的博客
08-27 2946
修复过程如下:root登陆 yum check-update 查看可升级的系统软件 yum upgrade 升级所有可升级的系统软件 等待执行完成. 备注: yum update:升级所有包同时也升级软件和系统内核 yum upgrade:只升级所有包,不升级软件和系统内核 测试样例: 一、升级前 系统版本: centos5.5 内核版本: 2.6.18-194.el5 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值