[代码审计]ThinkPHP5的文件包含漏洞

最新推荐文章于 2024-08-14 22:33:23 发布
最新推荐文章于 2024-08-14 22:33:23 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: PHP 复现 文章标签: php 开发语言 安全 文件包含 ThinkPHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45557476/article/details/125275713
版权

目录

漏洞影响范围

漏洞分析

POC

漏洞影响范围

加载模版解析变量时存在变量覆盖问题,导致文件包含漏洞的产生 漏洞影响版本:5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10

我复现用的是5.1.15

环境配置要将将 application/index/controller/Index.php 文件代码设置如下:

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
​
    public function index()
    {
​
        $this->assign(request()->get());
        return $this->fetch(); // 当前模块/默认视图目录/当前控制器(小写)/当前操作(小写).html
    }
}

创建 application/index/view/index/index.html 文件,内容随意(没有这个模板文件的话,在渲染时程序会报错)

漏洞分析

先跟进assign方法

再跟进

array_merge() 函数用于把一个或多个数组合并为一个数组。

只是赋值操作,跟进下面的fetch

继续跟进

用于$this引用当前对象。用于self引用当前类。换句话说, $this->member用于非静态成员,self::$member用于静态成员。

范围解析运算符(也称为 Paamayim Nekudotayim)或更简单的术语是双冒号,是一个允许访问类的 静态常量和重写属性或方法的标记。

fetch 前面的方法 主要是加载模板输出。这里的method值可以追溯到view\driver\Think.php 视图引擎

跟入84行fetch进入think\templae.php

第200行在读取的时候采用了一个read的方法。继续跟进read,进入template\driver\File.php

危险危险危险!!这里调用了一个extract函数,可控变量 $vars 赋值给 $this->data 并最终传入 File 类的 read 方法。而 read 方法中在使用了 extract 函数后,直接包含了 $cacheFile 变量。这里就是漏洞发生的关键原因(可以通过 extract 函数,直接覆盖 $cacheFile 变量,因为 extract 函数中的参数 $vars 可以由用户控制)。

这里extract 该函数使用数组键名作为变量名, EXTR_OVERWRITE 变量存在则覆盖

EXTRACT() 函数用于返回日期/时间的单独部分,比如年、月、日、小时、分钟等等。

POC

http://localhost:8000/index/index/index?cacheFile=shell.jpg

图片马 shell.jpg 放至 public 目录下(模拟上传图片操作)。

姜小孩.
关注
专栏目录
ThinkPHP V5.0.5漏洞_ThinkPHP漏洞分析与利用
weixin_39602280的博客
11-19 2554
一、组件介绍1.1 基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL...
ThinkPHP V5.0.5漏洞_ThinkPHP5丨远程代码执行漏洞动态分析
weixin_39756192的博客
11-19 1172
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,在保持出色的性能和至简代码的同时,也注重易用性。但是简洁易操作也会出现漏洞,之前ThinkPHP官方修复了一个严重的远程代码执行漏洞。这个漏洞的主要原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。那么今天i春秋用动态分析法来介绍远...
ThinkPHP5漏洞分析之文件包含
最新发布
duoba_an的博客
08-14 966
如果输入的数组中有相同的字符串键名,则该键名后面的值将覆盖前一个值。模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致。这里使用的是nginx,所以将文件放在nginx文件夹下了,这都不重要,根据自己情况决定。将一个或多个数组的单元合并起来,一个数组中的值附加在前一个数组的后面。返回作为结果的数组。如果输入的数组存在以数字作为索引的内容,则这项内容的键名会以连续方式重新索引。仅在当前符号表中已有同名变量时,建立附加了前缀的变量名,其它的都不处理。
ThinkPHP V5.0.5漏洞_漏洞考古:thiknphp5 代码执行漏洞
weixin_39662142的博客
11-19 460
thinkphp版本:v5.0.5下载地址 https://www.thinkphp.cn/down/870.htmlpoc:?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 带poc访问index.php以后经过初始化以后,流程执行到App类...
ThinkPHP V5.0.5漏洞_Thinkphp5.x 全版本通杀漏洞分析
weixin_39762666的博客
11-19 1020
序言最近爆出了Thinkphp5.0.*全版本代码执行,其中5.1与5.2全版本在生产环境下下同样也存在代码执行漏洞分析:文件位置:\thinkphp\library\think\Request.php其中:$this->method = strtoupper($_POST[$this->config['var_method']]);$method =...
ThinkPHP V5.0.5漏洞_告急:Dubbo出现严重漏洞,覆盖多个版本,附解决方案
weixin_39716088的博客
10-20 220
来源:华为云 & 安全客整理:Java面试那些事儿近日,国内各安全实验室检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。# 漏洞原理Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了A...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
10-25
不过,正如所有软件产品一样,ThinkPHP也存在安全漏洞的风险,其中就包括了任意代码执行漏洞。这种漏洞允许攻击者在服务器上执行恶意代码,从而威胁系统的安全性和数据的完整性。了解到漏洞的危害和如何修复这些漏洞...
代码审计-Thinkphp框架审计前置知识点
xiaoheizi的博客
08-10 885
使用thinkphp框架的源码审计思路: 1.使用源码查看工具打开源码,全局搜索thinkphp确认源码是否使用thinkphp框架 2.源码如果没有按照thinkphp框架的代码规则来写,则不会触发thinkphp框架的过滤规则。按照常规思路测试即可 3.源码如果是按照thinkphp框架的代码规则来写的,则全局搜索THINK_VERSION确认框架版本信息,根据版本漏洞来测试。否则相当于在测试框架的0day。
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞 本文将对youdiancms最新版getshell漏洞进行代码审计,详细讲解漏洞的发现和利用过程。 SQL注入漏洞 第一步,我们拿到源码,发现该系统是基于THINKPHP3开发的。在App/Lib/...
thinkphp5漏洞验证
04-16
thinkphp漏洞验证文档,此文档仅用于漏洞验证等白帽子行为,请勿用于网络攻击等非白帽子行为
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
ThinkPHP5.0.*版本代码执行漏洞
热门推荐
玄道的网安博客
01-12 3万+
我们先看处理请求的Request类,在thinkphp/ library/think/Request.php。 Method方法来获取当前的请求类型。 isGet、isPOST、isPUT等方法都调用了method方法来做请求类型的判断。 而在默认情况下,是有表单伪装变量的 在默认情况下,该变量值为_method 在Method方法中,将表单伪装变量对该方法的变量进行...
ThinkPHP5.0.5_变量覆盖导致的RCE漏洞分析
11-21 1463
TP5.0.5_变量覆盖导致的RCE漏洞分析 TP的RCE漏洞有两个大版本的区别 TP 5.0-5.0.24 这个RCE在5.0.13之后的版本需要开启debug模式 TP 5.1.0-5.1.30 POChttp://localhost:8009/public/index.php POST: _method=__construct&method=GET&filter[]=system&s=whoami 漏洞分析 在经过App::routeCheck()->Ro
ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查
dayouzi的博客
08-11 1628
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验,可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。
Thinkphp5 文件包含漏洞复现分析
cosmoslin的博客
12-01 4345
漏洞概要 漏洞存在于 ThinkPHP模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致文件包含漏洞 的产生。 影响版本 5.0.0 <= Thinkphp <= 5.0.18 5.1.0 <= ThinkPHP <= 5.1.10 环境搭建 Phpstudy: OS: Windows PHP: 7.3.4 ThinkPHP: 5.0.18 创建测试环境: composer create-project topthink/think=5.
ThinkPHP中__initialize()和类的构造函数__construct()用法分析
weixin_30363817的博客
11-27 133
本文实例分析了ThinkPHP中的__initialize()和类的构造函数__construct()。分享给大家供大家参考。具体分析如下: thinkphp中的__construct是不可以随便用的,因为你的模块类继承上级类,上级类有定义好的; 1、__initialize()不是php类中的函数,php类的构造函数只有__construct(). 2、类的初始化:子类如果有自己的构造函数...
ThinkPHP V5.0.5漏洞_【每日安全资讯】滥用 ThinkPHP 漏洞的僵尸网络 Hakai 和 Yowai
weixin_39541681的博客
11-08 729
前言网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。YowaiYowai(BACKDOOR.LINUX.YOWAI.A,由趋势科技检测)具有与其他Mirai变体...
thinkphp5.0.24文件包含漏洞
06-08
ThinkPHP 5.0.24版本存在一个文件包含漏洞,也称为“ThinkPHP5.0.24远程代码执行(RCE)漏洞”。这个漏洞源于框架中的一个设计缺陷,它允许恶意用户利用特定条件下的参数控制来执行任意文件包含操作,从而可能导致攻击者能够获取敏感信息或执行未经授权的操作。 漏洞细节: - 漏洞存在于`ThinkPHP/Library/Think/Loader.php`文件的`import`方法中,当处理动态导入路径时,没有正确验证和过滤输入。 - 攻击者可以通过构造恶意的`import`调用,如`think/Loader::import('..path/to/file');`,利用这个漏洞来包含和执行他们选择的任意文件。 影响范围和修复: - 这个漏洞可能影响到使用ThinkPHP 5.0.24版本的网站,特别是那些在用户输入未经充分验证的情况下调用`import`方法的应用。 - ThinkPHP团队已经发布了安全补丁,修复了这个问题,用户应该尽快更新到最新版本,或者按照官方文档的指导进行漏洞修复。 相关问题: 1. 怎样避免ThinkPHP应用受到此漏洞的影响? 2. 如何检查我的ThinkPHP项目是否受到了该漏洞影响? 3. 安装了补丁后,还需要做哪些额外的安全措施?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姜小孩.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值