【漏洞复现】ThinkPHP 小于 6.0.2 session id未作过滤漏洞导致的任意写文件

已于 2022-04-22 15:52:48 修改
阅读量1.8k 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 php 系统安全
于 2022-04-20 00:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46344990/article/details/124287562
版权

一、漏洞描述

ThinkPHP6.0.0到ThinkPHP6.0.1,由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

二、漏洞发现

首先我们下载好thinkphp6.0.0源码,网上搜一搜就出来了。将源码放在phpstudy的www目录下。注意需要运行环境php7.1+。先在/app/middleware.php中开启session。

然后在/app/controller/Index.php添加以get方式获取session值的语句,模拟真实情况下session可控。

从/app/middleware.php入手,调用了\think\middleware\SessionInit的handle方法做初始化,将getname方法的返回值给过来,cookie方法处理后传入sessionId做了setId的参数

而在setId中判断传过来的id是否为32位,如果是32位就直接用没有任何过滤

直接来看vendor/topthink/framework/src/think/session/Store.php中的save方法,用getId方法获得sessionId,而getId里面是我们刚刚用setId设置的id,也就刚刚没被过滤的东西。用serialize方法将内容反序列化。然后将这两个变量传入write方法中

跟进write方法在vendor/topthink/framework/src/think/session/driver/File.php。getFileName设置文件名字,

writeFile将内容写入文件里面。

在getFileName方法中,直接拼接sess_+刚刚传来的sessID

在writeFile方法中,将序列化的内容直接写进去,写在/ runtime/session/sess_(可控sessionId)里面,文件名可控和内容可控导致任意文件操作漏洞

三、漏洞利用

已知index.php的zk变量通过get方式提交可控传进session里面

构造payload:

zk参数后面是文件里面的内容,phpsessid是文件名字。如果字符串等于32位则直接命名,不做任何处理,所以这里只要前面写28个z后面.php占4个字节,一共32字节。

文件路径为/runtime/session/sess_aaaaaaaaaaaaaaaaaaaaaaaaaaaa.php,直接访问。

利用成功。

也可以将内容替换为一句话木马,用菜刀,蚁剑链接。

payload:

看一下session记录的文件

Edward Hopper
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ThinkPHP v6.0.x反序列化漏洞复现与分析
m0_61083409的博客
06-18 2017
初始环境,需要注意的是,新版v6基于开发 使用进行安装 坑点,截止到 ,默认核心安装的为 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请部署完成后,请前往 中,修改核心依赖相关版本,回退更新 进行回退更新,没有出现报错即成功 开启web服务进行验证访问’ 注意:实际测试需要PHP版本>7.2.5**** 版本安装后默认使用单应用模式部署,url访问受到路由模式的影响,为了使用方便,我们先要去 中将 访问控制器中的方法名,并且传递参数值 需要编一个控制器模块并存在反序列化可控点,这样
php where 小于,where方法 - ThinkPHP5数据库实例详解 - php中文网手册
weixin_39628271的博客
03-09 1309
where方法时间查询1、功能:用来进行时间比较查询where查询表达式中加上关键字:time,可用以时间比较2、常用语法:与前面学习过的普通where查询表达式相比,在比较运算符的后台加关键字:time,表示要比较的日期时间型的值,与普通比较相区别普通语法: where( '字段','查询表达式','条件')时间查询:where( '字段','比较运算符或关键字 time', '条件' )1....
thinkphp session漏洞的修复解决办法(附代码分析与检测)
网站安全专家
01-30 1482
大年初五,根据我们SINE安全的网站安全监测平台发现,thinkphp官方6.0版本被爆出高危的网站代码漏洞,该漏洞导致网站被植入网站木马后门文件也叫webshell,具体产生的原因是session ID参数值这里并未对其做详细的安全过滤与效验,导致可以远程修改POST数据包将session的值改为恶意的后门代码,发送到服务器后端并生成PHP文件直接生成,可导致网站被攻击,服务器被入侵,关于该t...
thinkphp 6.x 任意文件漏洞
Aiwin的博客
08-06 3821
thinkphp 6.x 任意文件漏洞
常见web安全漏洞
最新发布
2401_84466359的博客
04-29 687
​ “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
ThinkPHP6.0 反序列化漏洞
Sentiment的博客
05-31 2975
当时学tp就是为了国赛,审了审3和5的寻思已经够用了肯定不能出6的吧就没再审,没想到这次就出了6.012的反序列化还好很简单,所以还是回过头审一遍吧 配置 序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6(2),2024年最新面试题+笔记+项目实战
04-15 1007
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
thinkphp6文件漏洞
01-08
标题中的“ThinkPHP6文件漏洞”是一个关于网络安全的具体问题,主要涉及到的是ThinkPHP6框架在处理文件操作时可能出现的安全隐患。ThinkPHP是广泛应用于中国的一个开源PHP框架,其最新版本6.0在设计和实现过程中...
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
10-25
主要介绍了ThinkPHP框架任意代码执行漏洞的利用及其修复方法,该漏洞的修复对于广大使用ThinkPHP的开发人员来说尤为重要!需要的朋友可以参考下
thinkphp6.0.2.zip
07-04
本篇文章将围绕着"thinkphp6.0.2.zip"这一压缩包,详细解析其中包含的文件ThinkPHP6.0.2框架的基础知识和实际应用。 首先,压缩包中的".example.env"文件是一个环境配置示例文件,用于展示如何设置项目环境变量。...
thinkPHP5之比较标签和条件判断标签
zhou520fang的博客
12-08 7741
thinkPHP5之比较标签和条件判断标签比较标签 用于简单的变量比较,复杂的判断条件可以用if标签替换,比较标签是一组标签的集合,基本上用法都一致,如下:{比较标签 name=”变量” value=”值”} 内容 {/比较标签}此处的name有8个标签,含义分别如下: eq/equal : 等于 neq/notequal : 不等于 gt : 大
thinkphp5.1自定义SESSIONID与自定义SESSION存储
u014265398的博客
05-14 2867
系列文章目录 文章目录系列文章目录前言一、自定义session_id处理总结 前言 最近公司项目在搞安全排查,发现php 里面默认的session_id明文存储不符合安全规范,生成的机制不符合安全随机数,要求整改,这里记录一下修改方案,以备不时之需。 提示:以下是本篇文章正文内容,下面案例可供参考 一、自定义session_id处理 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和
thinkphp3.2 判断大于等于,小于等于之类的。
PrimaryColor
03-03 5827
标签 含义 eq或者 equal 等于 neq 或者notequal 不等于 gt 大于 egt 大于等于 lt 小于 elt 小于等于 heq 恒等于 nheq 不恒等于
ThinkPHP V6.0.12LTS 反序列化漏洞的保姆级教程(含exp编过程)
include_voidmain的博客
08-23 4197
ThinkPHP V6.0.12LTS 反序列化漏洞的保姆级教程(含exp编过程)
Thinkphp6.0.2 session id未作过滤漏洞导致任意文件
weixin_45291045的博客
03-09 572
漏洞描述 2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全SessionId导致任意文件操作漏洞.该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell. 影响范围 ThinkPHP6.0.0-6.0.1 漏洞复现 这是一个ThinkPHP任意文件入靶场 首先抓取数据包 构造数据包 /tp6/public/index.php?c=aaa<?php+phpinfo();+?> PHPSESSID
thinkphp sql查询范围大于等于和小于等于
ahjxhy2010的博客
11-15 1595
sql查询范围
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 7339
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHPsession函数详解
zhoutaotao123的博客
02-23 927
PHP中使用$_SESSION来操作session,而ThinkPHP提供了session的封装函数session()。单单这一个函数就实现了session的增删改查的功能。下面我们分别来看其应用与实现。 该session()函数的定义是在Common/functions.php中定义。 session配置 session($name=’’,$value=’’)函数有两个参数,$name为

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Edward Hopper

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值