ThinkPHP RCE漏洞分析合集

最新推荐文章于 2024-05-03 11:34:04 发布
最新推荐文章于 2024-05-03 11:34:04 发布
阅读量4.2k 收藏 10
点赞数 1
分类专栏: 技术干货
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/114967329
版权 
更多黑客技能 公众号:暗网黑客

作者:掌控安全-veek

一. ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致代码执行

0x00 背景

网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。

而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。

0x01 实验环境

系统环境

服务器主机:centOS 7

php 5.4版本,apache2,ThinkPHP 5.0.10

0x02 漏洞利用

将 application/index/controller/Index.php 文件中代码更改如下:

 <?php
 namespace app\index\controller;
 use think\Cache;
 class Index
 {
   
 public function index()
 {
   
 Cache::set("name",input("get.username"));
 return 'Cache success';
 }
 }

访问 http://localhost/tpdemo/public/?username=xxx%0d%0aphpinfo();//,即可将 webshell 等写入缓存文件。
在这里插入图片描述
在这里插入图片描述

0x03 漏洞分析

首先,查看缓存调用的方法
图片

跟进set方法,可见此处动态实例化了一个类
图片

从这个代码中我们可以看出来,这里获取外部一个配置的数组然后传
进了方法,而默认的cache.type为“File”,这个方法会根据我们的配置数据来动态的调用类执行不同的缓存操作

图片

查看connect函数,这里通过一系列判断,根据cache.type的值,找到cache驱动为File,对应44行的think\cache\driver\File类。然后在51行进行实例化,并将其return。
图片

跟进到file类的set函数,可以看到 data 数据没有经过任何处理,只是序列化后拼接存储在文件中,这里的 $this->options[‘data_compress’] 变量默认情况下为 false ,所以数据不会经过 gzcompress 函数处理。虽然在序列化数据前面拼接了单行注释符 // ,但是我们可以通过注入换行符绕过该限制。
图片

最后查看一下文件名的生成方法,可以看到文件名是通过调用 getCacheKey 方法获得的。
缓存文件的子目录和文件名均和缓存类设置的键有关(如本例中缓存类设置的键为 name )。
程序先获得键名的 md5 值,然后将该 md5 值的前 2 个字符作为缓存子目录,后 30 字符作为缓存文件名。
如果应用程序还设置了前缀 $this->options[‘prefix’] ,那么缓存文件还将多一个上级目录。
图片

总结一下,在源码中找到Cache::set(name, value, expire),其中缓存文件名是跟name相关联的,因此可以看作是一个已知条件。

漏洞的关键点就是是否开启缓存,value是否可控。

0x04 修复方案

从重现过程可以看出,在缓存文件里攻击者通过换行写入了恶意代码。可以参考引用文章中的修复方法:

1,打开文件:thinkphp\library\think\cache\driver\File.php
2,找到:public function set($name, $value, e x p i r e = n u l l ) 方 法 3 , 添 加 : expire = null) 方法 3,添加: expire=null)3data = str_replace(PHP_EOL, ”, $data); 即去掉换行。

0x05 参考资料

[ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致 Getshell]
Thinkphp缓存函数设计缺陷getshell漏洞重现及分析

二. ThinkPHP 5.x 变量覆盖导致的文件包含&任意代码执行

0x00 背景

影响版本:5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。

ThinkPHP在加载模版解析变量时存在变量覆盖的问题,且没有对 $cacheFile 进行相应的消毒处理,导致模板文件的路径可以被覆盖,从而导致任意文件包含漏洞的发生。

0x01 漏洞复现

环境:centOS 7, php 5.4, ThinkPHP 5.0.10

首先将 application/index/controller/Index.php 文件代码设置如下:

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
   
 public function index()
 {
   
 $this->assign(request()->get());
 return $this->fetch(); 
 }
}

创建 application/index/view/index/index.htm

最低0.47元/天 解锁文章
zkzq
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3587
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP多语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 2115
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
CVE-2020-1472 Netlogon权限提升漏洞分析
further_eye的博客
11-09 1112
漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
ThinkPHP2--RCE漏洞复现
最新发布
m0_74402888的博客
05-03 1074
var['\1']="\2" 这里双引号引发函数执行,了解为什么${}会执行,在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称呢?()值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将键和值分别提取出来,所有有两个(),一个匹配键,一个匹配值。$a的执行语句执行了(注意如果要实现该代码需要修改php的版本为5.x的版本)s=a/a/a/${phpinfo()} 其中a随意。
Thinkphp5.0.23-rce漏洞复现
qq_64875725的博客
06-02 2434
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。: 'GET';} elseif (!} else {
ThinkPHP5.0.0~5.0.23RCE 漏洞分析及挖掘思路
shelter1234567的博客
01-16 1603
本节我将分析thinkphp5.0.x 版本的RCE漏洞,根据漏洞的研究模拟挖掘此漏洞的思路
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7013
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
thinkphp 一键漏洞检测
12-09
然而,如同所有软件一样,ThinkPHP也有可能存在安全漏洞,这些漏洞可能被恶意用户利用,对网站造成严重威胁。"thinkphp 一键漏洞检测"工具正是为了解决这个问题而设计的。 该工具适用于ThinkPHP框架的多个版本,从V...
Thinkphp 5-RCE漏洞复现
Tender*的博客
08-10 704
ThinkPHP5披露最多得漏洞就是RCE,其中的影响版本范围非常广漏洞原理其版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。影响版本不同版本 payload 不同,且5.13版本后还与debug模式有关漏洞复现进入​。
Thinkphp漏洞详解合集
Aiwin的博客
05-24 2984
Thinkphp漏洞合集详细分析(未完成)
Think PHP 5 RCE漏洞复现及排查
dayouzi的博客
08-11 2265
ThinkPHP是一款运用极广的PHP开发框架。其漏洞点是由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8286
ThinkPHP5系列远程代码执行漏洞复现(详细)
Thinkphp5.0.2Rce分析
lastwinn的博客
07-06 2231
记录自己的所学以及理解。
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 7373
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
thinkphp5.0.23rce漏洞
06-28
thinkphp5..23rce漏洞是指在thinkphp5..23版本中存在一种远程代码执行漏洞,攻击者可以通过构造恶意请求,将任意代码注入到服务器端,从而实现对服务器的控制。该漏洞的危害性较大,建议尽快升级到最新版本或采取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值