本文详细介绍了OneThink基于ThinkPHP3.2的缓存文件泄露漏洞,通过分析Runtime/Temp目录下的php文件,揭示了如何利用换行符在用户注册和登录过程中逃逸单行注释,执行恶意代码,从而可能导致系统被攻击。通过注册特殊用户名并登录,可以触发漏洞,实现phpinfo()的显示。不同版本的缓存文件名不同,可能影响漏洞利用方式。
框架漏洞
因为尝试访问/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php的确成功,所以很有可能就是这个漏洞。虽然图都挂掉了,但是大概也能看懂。漏洞的成因大概就是ThinkPHP框架的缓存函数S()是以File方式,在/Runtime/Temp下生成缓存php文件,而且缓存文件名固定。另外乌云的这个漏洞详情没有公开,能找到的文章只有这篇。
本地搭建
一不小心下成了1.1版本,不过应该也没有太多的不同,这里我需要安装两个所需的php插件,并设置可写
$yum installphp-mbstring
$yum installphp-gd
$chmod777 -R wwwroot
浏览/Runtime/Temp目录发现如下文件:
27cdbc1fb1747e4f56dfb350211408e1.php
2923514e8f7dfe49ac5aebd5073e6000.php
5f172c2585b382a65d91e0c51a64dc7f.php
77278367caf1eb2690f686654d77e163.php
ea40274ec2c219aa956e2d44e586834d.php
其中如下两个文件是跟用户有关的文件:
5f172c2585b382a65d91e0c51a64dc7f.php
ea40274ec2c219aa956e2d44e586834d.php
这个两个文件内容一样,但不一定同时存在,内容如下:
//000000000000a:1:{s:2:"u1";s:13:"Administrator";}
?
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
