thinkphp5部分版本存在重大url漏洞

最新推荐文章于 2022-07-24 16:48:14 发布
最新推荐文章于 2022-07-24 16:48:14 发布
阅读量720 收藏
点赞数
分类专栏: PHP # ThinkPHP5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/raoxiaoya/article/details/95602999
版权

thinkphp部分版本存在重大url漏洞

Thinkphp 5.1.0 - 5.1.31
Thinkphp 5.0.5 - 5.0.23

1、现象:
下载thinkphp_5.0.21
直接访问:http://root.com/tp/public/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
是的,直接输出了phpinfo信息。

2、原因分析:
源于thinkphp对于url的处理上

默认配置为:
	// PATHINFO变量名 用于兼容模式
    'var_pathinfo'           => 's',
    // 是否强制使用路由
    'url_route_must'         => false,

由于默认没开启强制使用路由,所有就直接解析url了。
根据分隔符 $config[‘pathinfo_depr’] , 以上地址被解析为如下数组

array(2) {
  ["type"] => string(6) "module"
  ["module"] => array(3) {
    [0] => string(5) "index"
    [1] => string(10) "\think\app"
    [2] => string(14) "invokefunction"
  }
}

追踪到 thinkphp\library\think\App.php:553开始
实例化控制器:

$instance = Loader::controller(
                $controller,
                $config['url_controller_layer'],
                $config['controller_suffix'],
                $config['empty_controller']
            );

进入Loader的controller方法

public static function controller($name, $layer = 'controller', $appendSuffix = false, $empty = '')
{
    list($module, $class) = self::getModuleAndClass($name, $layer, $appendSuffix);

    if (class_exists($class)) {
        return App::invokeClass($class);
    }

    if ($empty) {
        $emptyClass = self::parseClass($module, $layer, $empty, $appendSuffix);

        if (class_exists($emptyClass)) {
            return new $emptyClass(Request::instance());
        }
    }

    throw new ClassNotFoundException('class not exists:' . $class, $class);
}

进入getModuleAndClass方法

protected static function getModuleAndClass($name, $layer, $appendSuffix)
{
    if (false !== strpos($name, '\\')) {
        $module = Request::instance()->module();
        $class  = $name;
    } else {
        if (strpos($name, '/')) {
            list($module, $name) = explode('/', $name, 2);
        } else {
            $module = Request::instance()->module();
        }

        $class = self::parseClass($module, $layer, $name, $appendSuffix);
    }

    return [$module, $class];
}

当$name为 \think\app 时 strpos 函数是有值的,于是 $class = $name;

好了,打印 上面的 $instance ,结果为

object(think\App)#5 (0) {
}

追踪到 thinkphp\library\think\App.php:585

if (is_callable([$instance, $action])) {
    // 执行操作方法
    $call = [$instance, $action];
    // 严格获取当前操作方法名
    $reflect    = new \ReflectionMethod($instance, $action);
    $methodName = $reflect->getName();
    $suffix     = $config['action_suffix'];
    $actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName;
    $request->action($actionName);

} elseif (is_callable([$instance, '_empty'])) {
    // 空操作
    $call = [$instance, '_empty'];
    $vars = [$actionName];
} else {
    // 操作不存在
    throw new HttpException(404, 'method not exists:' . get_class($instance) . '->' . $action . '()');
}

Hook::listen('action_begin', $call);

return self::invokeMethod($call, $vars);

于是,最终由 invokeMethod 通过反射类方法 执行了 think\app 下的 invokeFunction($function, $vars = []) 方法

通过反射来设定了参数必须是 function(必填) 和 vars(可选),类似于函数传参一样。

做种由 $reflect->invokeArgs($args) 来传参执行。

3、修复

问题的根源就是 getModuleAndClass 对控制器的过滤。
	1、设置请求路由
	2、强制使用路由 url_route_must = true
		修改以上两步,再次请求 http://root.com/tp/public/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
		报错:当前访问路由未定义
raoxiaoya
关注
专栏目录
攻防世界 ThinkPHP V5(漏洞解析及利用)
Haowill的博客
04-12 1万+
ThinkPHP V5 攻防世界这道题,考察的是thinkphp V5的漏洞,接下来我详细介绍一下thinkphp V5这个漏洞ThinkPHP 5漏洞简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5....
原创:struts2-045漏洞浅析
热门推荐
rossrocket的博客
03-28 1万+
这是小弟写的第一篇网文,文笔一般,请大家多包涵。近期发生了很多事,使我醒悟要回归自我的同时,要作些改变,所以开始写网文,且把这些网文分享至个人的微信公众号(公众号名:永记士多)和CSDN博客(博客账号:rossrocket,昵称:永记士多)。此微信公众号和CSDN博客现定位为:专门研究web应用的漏洞,性能,并发量,框架选择等问题,技术涵盖编程语言(java,php,python)、应用框架(st
威胁快报| ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截 ...
测试0901-1
12-20 390
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析。现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响。 此次漏洞ThinkPHP v5框架代码问...
ThinkPHP防范XSS跨站攻击
大任的网络专栏
01-26 902
有人在乌云向我提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script。 原理: httpx://www.example.com/index.php?m=">alert('xss');&a=index 其中m的值是一个不存在的module,同时是一个完全的script,在异常错
thinkPHP5.1 URL传参错误,无效
weixin_45843073的博客
04-14 654
如图,我测试在给方法传参的时候,要么就无效,要么显示页面错误,,查了半天,最后在thinkPHP手册上找到了答案。 把http://mytp5.cn/test/eat/buchi 改成 http://mytp5.cn/test/eat?hgr=buchi 就可以了。 我估计是我的服务器环境不支持path info的原因,具体怎么设置,搞了半天也没起作用,算了,还是直接以?参数=值的方式传值最简单,就这样。 ...
php url存在跨站漏洞,CVE-2017-1000499
weixin_33229152的博客
03-09 362
# Exploit Title: phpMyAdmin 4.7.x - Cross-Site Request Forgery# Date: 2018-08-28# Exploit Author: VulnSpy# Vendor Homepage: https://www.phpmyadmin.net/# Software Link: https://www.phpmyadmin.net/downl...
PHP编码安全之四: URL跳转安全(漏洞)
aben_sky的专栏
06-16 2180
URL跳转漏洞, 也叫开放重定向漏洞(open redirect)。 如果处理不当会导致用户被重定向至钓鱼或恶意网站。我们通常用白名单机制来处理,比如qq登录等接口的...
archive_ 迅睿CMS开源框架ThinkPHP6 v4.6 [江西新余电信].zip.zip
最新发布
09-14
ThinkPHP6是ThinkPHP框架的一个重大升级,它引入了许多新的特性和改进,以提高开发效率和应用性能。下面将详细讨论迅睿CMS和ThinkPHP6的相关知识点。 1. **迅睿CMS** - **简介**:迅睿CMS是一款适用于企业建站和...
藏经阁WEB框架0day漏洞的发掘及分析经验分享.pdf
09-04
在遇到问题时,要有足够的耐心和坚持,因为有时候,一个不起眼的问题可能就是重大安全漏洞的入口。 总之,Web框架的安全性对于整个应用程序的安全性至关重要。深入理解框架的运作机制,结合静态和动态分析技术,...
web漏洞之需要准备的工作:信息收集
Miracle_ze的博客
07-24 347
信息收集
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
thinkphp5.1.39、tp5.1.39版本
06-01
版本为tp5.1.39 是thinkphp5.1.39
近期1年来PHP面试题整理
wang_ze的博客
05-31 5790
面试: 冲击月薪18k(税后),你应该具备哪些技能?1.熟悉设计模式,单例,工厂,策略,观察者能根据实际场景写出代码2.熟悉框架tp,yii,larval,symfony,Phalcon7;至少读过其中之一的源码3.熟悉memcache,redis的使用,特别是redis,熟悉redis的主从配置;熟悉mongodb4.熟练掌握mysql,视图,触发器,sql语句优化,表设计,sql注入,锁,事物...
ThinkPHP 5.0 * 远程代码执行漏洞分析
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
thinkphp漏洞_【安全通告】ThinkPHP V5远程命令执行漏洞
weixin_39757169的博客
11-25 294
2019年1月11日,ThinkPHP团队发布了ThinkPHP V5版本更新,本次更新包含了一个可以导致远程代码执行的严重安全漏洞。无独有偶,该框架在2018年12月10日发布的安全更新中同样包含一个可以导致远程代码执行的严重漏洞ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用...
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 401
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP的5.*版本存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
qq_50854662的博客
10-23 1450
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5.2.x 这几个版本,都无需登入可以进行远程代码执行。 漏洞版本: 5.0.x5.1.x5.2.x 漏洞搭建
thinkphp5.0和5.1的getshell漏洞
爱钓鱼的程序猫
01-28 6146
前几天网站被提权了,网站才建没几天,应该不会有人故意为之,可能是批量扫描getshell的, 为了方便我找的是开源系统thinkcmf建了博客,看着挺不错的,因为thinkcmf用的是thinkphp5.0的框架开发的,我到thinkphp.cn上去看了一下,原来有一个提权漏洞。 libaray/think/app.php文件中模块,控制器,方法使用的是/来区分开来。 然后并没有对控制器进行...
thinkphp远程代码执行漏洞
玄道的网安博客
12-11 1万+
0x00前言 近日thinkphp团队发布了版本更新https://blog.thinkphp.cn/869075,其中修复了一处getshell漏洞。 影响范围:5.x < 5.1.31, <= 5.0.23 危害:远程代码执行 0x01漏洞原理 首先我们来看url http://localhost/public/index.php?s=index/\think\Cont...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值