从无到有分析thinkphp6 session文件操作漏洞

最新推荐文章于 2024-08-22 16:14:19 发布
最新推荐文章于 2024-08-22 16:14:19 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 信息安全 文章标签: thinkphp 代码审计 session漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q851579181q/article/details/104344999
版权

漏洞介绍:

      2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

该漏洞已经有分析文章:https://mp.weixin.qq.com/s/UPu6cE20l24T6fkYOlSUJw  但分析的不够详细,本文是对该漏洞点进行一个更详细的分析。

 

搭环境:

 1.安装composer,ubuntu下 apt install composer

 2.使用composer安装thinkphp

 3.解决composer下载速度慢问题

       composer config -g repo.packagist composer https://packagist.phpcomposer.com

 4.使用composer安装指定版本的thinkphp

       composer create-project topthink/think=6.0.1  tp6 --prefer-dist

       composer require topthink/framework:6.0.1

 5.进入tp目录运行 php  think  run

    

 

注意点:

   1.上述下载的代码是修复后的,可以手工修改会原先漏洞点。

   2.不能直接使用git clone 的源码。

 

官方commit:https://github.com/top-think/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2

 

漏洞代码点:

   ./vendor/topthink/framework/src/think/session/Store.php 此文件中定义了Store类,class Store{}。

public function setId($id = null): void

{

  //$this->id = is_string($id) && strlen($id) === 32 ? $id : md5(microtime(true) . session_create_id());  //修复前

  $this->id = is_string($id) && strlen($id) === 32 && ctype_alnum($id) ? $id : md5(microtime(true) . session_create_id());

}

区别:

  修复前 检查$id的内容是32位的字符串即可。

  修复后 增加了$id必须是数字字母组合的检查。

 

解疑:

    这里用到了三目运算符 ?:  

   microtime() 函数返回当前 Unix 时间戳的微秒数。

   ctype_alnum() 检查提供的string,text 是否全部为字母和(或)数字字符。

 

查看前后的代码,发现存在save函数有文件操作,进行分析,调用了write和delete方法。

 

由于是write是属于handler的方法,在此Store类中找一下hander在哪,发在咋构造函数中SessionHandlerInterface $handler

   public function __construct($name, SessionHandlerInterface $handler, array $serialize = null)

    {
        $this->name    = $name;

        $this->handler = $handler;

        if (!empty($serialize)) {

            $this->serialize = $serialize;

        }

        $this->setId();
    }

解疑:

    SessionHandlerInterface是一个 接口,用于创建自定义会话。

    参考:https://www.php.net/manual/zh/class.sessionhandlerinterface.php

               https://blog.csdn.net/zyddj123/article/details/78906530

 

除此以外:

     拉到Store.php最上面可以看到看到

     use think\contract\SessionHandlerInterface;

    其内容如下,声明了接口,我们可以看一下,当然和追踪漏洞关系不大。

/**
 * Session驱动接口 
*/

interface SessionHandlerInterface
{
    public function read(string $sessionId): string;

    public function delete(string $sessionId): bool;

    public function write(string $sessionId, string $data): bool;

}

 

接下来我们继续追踪write函数,因为接口SessionHandlerInterface是需要被类继承使用的,因此可以全局搜索implements SessionHandlerInterface,定位到相关的文件及代码。(当然了,最简便的方法是直接在Stroe.php所在的session目录下发现File.php,里面有很多注释,表明是对session的相关操作,可以顺利找到相关代码)

 

    public function write(string $sessID, string $sessData): bool
    {
        $filename = $this->getFileName($sessID, true);
        $data     = $sessData;

        if ($this->config['data_compress'] && function_exists('gzcompress')) {
            $data = gzcompress($data, 3);  //数据压缩
        }
        return $this->writeFile($filename, $data);
    }

 

可以看到write函数调用了writeFile函数,继续看writeFile函数,注意到的$filename变成了$path

    protected function writeFile($path, $content): bool
    {
        //写文件加锁, LOCK_EX 标记可以防止多人同时写入
        return (bool) file_put_contents($path, $content, LOCK_EX);
    }

因此反向看调用关系,去找看看$path是否可控,最开始就是由原先的Store类中的setid方法产生,未对其做严格过滤。但在这一过程中发现与原文章内容不符,原文未考虑getFileName()对传入参数的影响。

 

我将整个调用的过程,简化成了下面这种形式:

调用关系:

    class Store -->setid()-->getId()-->save() --> class File --> write() -->getFileName()-->writeFile()

简明代码:

class Store{   

   protected $id;
   
   public function setId($id = null): void
    {
       $this->id = is_string($id) && strlen($id) === 32 && ctype_alnum($id) ? $id : md5(microtime(true) . session_create_id());
    }


   public function getId(): string
    {
        return $this->id;
    }


   public function save(): void
    {
        $sessionId = $this->getId();
        $this->handler->write($sessionId, $data);
    }

}



class File implements SessionHandlerInterface {

   protected function getFileName(string $name, bool $auto = false): string
    {
        if ($this->config['prefix']) {
            // 使用子目录
            $name = $this->config['prefix'] . DIRECTORY_SEPARATOR . 'sess_' . $name;
        } else {
            $name = 'sess_' . $name;
        }

        $filename = $this->config['path'] . $name;

        $dir      = dirname($filename);

        if ($auto && !is_dir($dir)) {

            try {
                mkdir($dir, 0755, true);
            } catch ($e) {}
        }

        return $filename;
    }


   public function write(string $sessID, string $sessData): bool
    {
        $filename = $this->getFileName($sessID, true);
        return $this->writeFile($filename, $data);
    }



   protected function writeFile($path, $content): bool
    {
        return (bool) file_put_contents($path, $content, LOCK_EX);
    }
}

 

        显然 ,这里存在getFileName会处理sessid,会在文件名前面添上“sess_”前缀,且该文件默认情况会被保存在./runtime/session目录下,该目录一般是访问不到的。可以构造/../../xxx这样的参数绕过限制。从而导致写入的文件名可控,实际的参数名称为PHPSESSID.

PHPSESSID=/runtime/session/sess_/../../xxx

 

扩展知识:

  PHP默认的session配置就能做到控制部分session名称,发送PHPSESSID=xxx内容,就会在session缓存目录创建sess_xxx 。

测试代码:

<?php

    session_start();

?>

请求:

在服务器上查看session文件,成功创建:

 

那能否通过插入/../../xxx来穿越目录并构造任意文件呢? 答案是否,会提示存在非法字符。

 

那么目前为止,可以穿越目录创建任意文件了,接下来再看$DATA从哪来。发现其内容依赖于后端代码的具体实现。

    public function setData(array $data): void
    {
        $this->data = $data;
    }

 

至此分析结束。

欢迎批评和交流。

 

------后来又看到了别人的分析文章,可以互相借鉴----

https://blog.csdn.net/zhangchensong168/article/details/104106869

https://blog.csdn.net/god_zzZ/article/details/104275241

 

Blus.King
关注
专栏目录
开发知识点-Thinkphp框架
aming小老弟
10-11 473
作为一个整体开发解决方案,ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
从一个Laravel SQL注入漏洞开始的Bug Bounty之旅
离别歌
08-30 2714
事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程。本文提到的漏洞《Cachet SQL注入漏洞(CVE-2021-39165)》已经修复,也请读者勿使用该...
thinkphp3.2.x】thinkphp3.2.x中有关session存储机制的相关文件
PHP在线开发笔记
07-19 5449
一、session存储方式为数据库: "tp\ThinkPHP\Library\Think\Session\Driver\Db.class.php" <?php // +---------------------------------------------------------------------- // | ThinkPHP [ WE CAN DO IT JUST THINK IT
漏洞复现】ThinkPHP 小于 6.0.2 session id未作过滤漏洞导致的任意写文件
m0_46344990的博客
04-20 1940
一、漏洞描述 ThinkPHP6.0.0到ThinkPHP6.0.1,由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 二、漏洞发现 首先我们下载好thinkphp6.0.0源码,网上搜一搜就出来了。将源码放在phpstudy的www目录下。注意需要运行环境php7.1+。先在/app/middleware.php中开启session。 然后在/app/controller/
Thinkphp6 反序列化漏洞分析
最新发布
无问社区的博客
08-22 1427
小编对Thinkphp6 反序列化漏洞分析和自己的总结,全篇有点长,可以互相交流一下
ThinkphpSession
qq_29744347的博客
04-30 1196
文章目录前言session开启设置session属性判断session属性是否存在删除session属性获取session属性session配置 前言 thinkphpsession也不是php的内置session 也是改造过的 session开启 在中间件中开启 这里我在admin应用的中间件中开启 # app/admin/middleware.php return [ \think\middleware\SessionInit::class ]; 设置session属性
Session文件包含漏洞传马
wikey 的博客
03-29 92
默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。同时可以通过这个文件地址向session传入木马,也就是通过木马文件传入目录以获取权限。
php页面刷新$_session会变化,每次刷新页面都会生产新的session_id
weixin_35737757的博客
03-26 994
在测试通过 URL 来传递 session_id 的时候,发现没进行一次页面刷新,都会生成一个新的 session_id,有没有办法重用现有的 session_id ?代码:set_session.phpheader("Content-type:text/html;charset=utf-8");ini_set('session.use_trans_sid', 1);ini_set("sessio...
浅谈安全漏洞及工具
ubisectech的博客
05-05 917
一,什么是安全漏洞 安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。举例来说,比如最近一次的Log4j 漏洞事件,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90% 以上基于 java 开发的应用平台都会受到影响。 二,安全漏洞如何产生 安全漏洞往往会给公司带来极大的麻烦。攻击者会利用它们去攻击普通用户、管理员以及连接和使用此类...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5552
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
DVWA(二)命令执行漏洞(Command Injection)
qq_42180996的博客
05-27 922
命令执行漏洞 一、实验环境 二、实验原理 1.概念 2.分类 3.&&和&和| 4.Windows常用命令 5.Linux常用命令 三、实验步骤 (一)Low级别 1.源码 2.命令执行漏洞利用 (二)Medium级别 1.源码 2.命令执行漏洞利用 3.绕过方式 (三)High级别 1.源码 2.命令执行漏洞 3.绕过方法 ...
php sessionid一直变,php session_id 不停的变化
weixin_36163672的博客
03-24 1564
请问 我的页面上的session_id 为什么在不停的变化 不是固定的 我每刷新一次它就变化一次 这个应该是固定的啊是什么问题导致的啊回复讨论(解决方案)浏览器不支持cookie?多半是 session.auto_start = 1也不排除你的浏览器不支持 cookiesession.auto_start = 0我的浏览器支持cookie那只能贴代码说话啦rss.phprss.php加url跳转过...
ThinkPHP URL自己带上参数PHPSESSID
shrimpma的专栏
06-14 3286
碰到个问题,ThinkPHP项目程序本地测试没问题,传到服务器后第一次访问,页面的所有URL会自己带上类似?PHPSESSID=28954583914413546c6e881cfa7c8117 这样的参数,再点击刷新下页面后访问才正常。浏览器并没有禁止cookie,本地访问正常也证实了这点,第一猜想是服务器的环境配置与项目代码某些地方冲突所影响。检测了服务器的关于cookie的配置对比本地
安装android studio遇到的坑
weixin_43829658的博客
03-08 185
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片项目场景:问题描述:原因分析:解决方案:如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所
php之session_id()的工作原理
u014265398的博客
10-16 1889
文章目录前言一.session工作原理1.session工作原理2.php.ini中session的配置信息3.测试session_id的存储二、session_id()工作原理1.官方文档说明总结 前言 我们知道,session是在服务器端保持用户会话数据的一种方法,对应的cookie是在客户端保持用户数据。HTTP协议是一种无状态协议,服务器响应完之后就失去了与浏览器的联系,最早,Netscape将cookie引入浏览器,使得数据可以客户端跨页面交换。 提示:以下是本篇文章正文内容,下面案例可
ThinkPHP6.0 Session 问题
08-26 1953
输入用户名、密码、验证码,点登录按钮,提示 验证码 错误,错误很常见,我再刷新一下页面,再熟练地输入用户名、密码、验证码,点登录按钮,又提示验证码错误,一下就懵B了,好好的怎么就出现这样的提示,然后一统查,首先查看 app\middleware.php 这个文件。改过来后,再打开chrone浏览器,刷新,输入,点登录,哈哈,正常跳转登录成功。同样打开Microsoft Edge浏览器,刷新,输入,点登录,哈哈,正常跳转登录成功。kaysonzhang@kaysonzhang ·3 年前。...
thinkphp6 入门(8)-- Session
软件工程小施同学 的专栏
10-14 986
ThinkPHP`6.0`基于精简核心和统一用法两大原则在`5.1`的基础上对底层架构做了进一步的优化改进,并更加规范化。Session · ThinkPHP6.0完全开发手册 · 看云。功能默认是没有开启的(API应用通常不需要使用。如果name的值不存在,返回。
php自己实现一个session,如何自己实现session功能
weixin_33342041的博客
03-10 336
session字如其意,它的存在就是为了保持会话状态。PHP中的$_SESSION让我们很方便的使用它,但是如果PHP本身不提供这个功能,我们该如何实现呢?且听我慢慢忽悠。session的实现原理session本身的实现原理其实很简单,几句话就可以说完用户首次访问时生成唯一ID(其实就是PHP中的session_id)根据session_id作为唯一标示,生成session_id为名称的文件(储存...
Web学习第二周
qq_52488638的博客
12-06 160
web学习报告2 (1):继续进行php基础语言学习; 对HTML基础进行练习,开始学习css,JavaScript (2):web做题解析 1.伪协议1 注释:a.highlight_file() 函数对文件进行语法高亮显示。 本函数通过使用 PHP 语法高亮程序中定义的颜色,输出或返回包含在 filename 中的代码的语法高亮版本。 许多服务器被配置为对带有 phps 后缀的文件进行自动高亮处理。例如,在查看 example.phps 时,将显示该文件被语法高亮显示的源代码。要启用该功能,请把下面这
ThinkPHP框架安全解析:从漏洞到防御
"Thinkphp漏洞挖掘到安全防御.pdf,涵盖了PHP主流框架的介绍,特别是Thinkphp框架的深入探讨,包括其3.2.3版本的介绍和安装步骤,以及核心文件和环境搭建的内容。" 在深入研究Thinkphp框架之前,我们首先需要了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值