修复Thinkphp框架5.0和5.1版本的远程代码执行安全漏洞

最新推荐文章于 2024-06-16 19:36:15 发布
最新推荐文章于 2024-06-16 19:36:15 发布
阅读量184 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wujf-myblog/p/10675593.html
版权

由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。最直接的影响为index.php直接被篡改成首页html的内容!

 

5.0版本

thinkphp/library/think/App.php  类的module方法的获取控制器的代码后面加上

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);

}

 

5.1版本

thinkphp/library/think/route/dispatch/Url.php  类的parseUrl方法,解析控制器后加上   添加

 if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
     throw new HttpException(404, 'controller not exists:' . $controller);
 }

 

 验证成功 即可。

转载于:https://www.cnblogs.com/wujf-myblog/p/10675593.html

weixin_30628077
关注
Thinkphp V5.X 远程代码执行漏洞 - POC(精:集群5.0*、5.1*、5.2*)
墨痕诉清风的博客
11-07 4506
官方公告:1、2、POC:批量检测单个检测。
thinkphp5.0/5.1 远程命令执行漏洞 解决
qq_40108098的博客
03-19 1517
参考:https://blog.csdn.net/dabao87/article/details/84966882 远程命令执行漏洞是由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 影响版本 ThinkPHP 5.0系列 < 5.0.23 ThinkPHP 5.1系列 &lt...
ThinkPHP 5.0.* 修复安全漏洞
qq_38358436的博客
01-23 204
原因 https://s.tencent.com/research/report/607.html?client=tim&amp;ADUIN=1376109662&amp;ADSESSION=1548207737&amp;ADTAG=CLIENT.QQ.5597_.0&amp;ADPUBNO=26881 官方修复方法 https://blog.thinkp...
关于ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
q469587851的博客
03-28 1134
漏洞描述 由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 < 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 \thinkphp\...
阿里云对Thinkphp5以上版本漏洞修复方法
Andy ` 勋章的博客
12-24 1818
1.ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞 解决方案: 在think\App类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exis...
ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
weixin_30363817的博客
07-29 124
漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级严重 影响版本ThinkPHP 5.0系列 < 5.0.24 安全版本ThinkPHP 5.0系列 5.0.24ThinkPHP 5.1系列 5.1.31 安全建议升级ThinkPHP至安全版本修复方法1.打开\thinkphp\libr...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心构造,从而实现远程代码执行。 #### 环境准备与复现 为了更好地理解该漏洞,建议...
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
热门推荐
SoulCat
01-27 3万+
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复远程代码执行漏洞,对于5.0.x、5.1.x、5....
复现Thinkphp5 5.0.22/5.1.29远程代码执行漏洞
weixin_67813445的博客
03-15 690
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。
ThinkPHP5.0.*远程代码执行漏洞预警
a970241850的博客
01-15 184
安全公告 Thinkphp5.0.*存在远程代码执行漏洞。 漏洞描述 Thinkphp5.0.*存在远程代码执行漏洞。攻击者可以利用漏洞实现任意代码执行等高危操作。 目前官方已经出了补丁: https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f31...
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
最新发布
weixin_43822401的博客
06-16 538
在Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析该漏洞的原理、利用方法,并提供相应的防护措施。
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3901
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本5.0.13
tp5.0 tp5.1漏洞修复 thinkphp框架有什么漏洞
qq_42740298的博客
09-06 604
相信很多人平时都没什么注意。平时做好漏洞修复以及安全防护是非常有必要的 tp5.0 所在路径/thinkphp/library/think/App.php 搜索获取控制器名 加入以下代码即可 if (!preg_match('/^[A-Za-z][\w\.]*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); } tp5.1 所在路径 /thinkphp/librar
解决TP5项目被恶意篡改、注入代码问题
IT-Andy
07-03 7493
首先,谈谈这个曲折的经历! 第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数! 第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家! 如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢! 1、禁掉...
记录一期Thinkphp5 WebShell木马渗透的经历, 加修复建议
DWH的博客
12-26 8488
ThinkPHP的宗旨是简化开发、提高效率、易于扩展,其在对数据库的支持方面已经包括MySQL、MSSQL、Sqlite、PgSQL、 Oracle,以及PDO的支持。ThinkPHP有着丰富的文档和示例,框架的兼容性较强,但是其功能有限,因此更适合用于中小项目的开发。 但是漏洞也层出不穷,有一天发现自己的的小程序突然打不开了, What ??? 小小的网站也被墙了? 之前抱着一种心态 想着 这么小的网站谁想搞你 然后对网络安全方面视而不理,结果有一天 被啪啪打脸!! 当时很惊慌,未了解网络渗透方面的知识
ThinkPHP5.1修改项目前端页面的入口文件原public为自定义目录
xmwangtiger的专栏
12-28 1万+
      TP5.1  将项目默认的入口文件定义在public目录下,对于程序安全有风险,因项目的需要,需修改项目入口文件为自定义的路径,以下是我的做法: 1、将public目录下的index.php , 和 htaccess 文件移至项目根目录。 2、在项目的主执行目录,如application,或app下的Index/controller/index.php里面,修改index方法的页面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值