Thinkphp <= 5.0.10 缓存getshell复现

最新推荐文章于 2023-06-23 15:49:52 发布
最新推荐文章于 2023-06-23 15:49:52 发布
阅读量436 收藏
点赞数
原文链接:http://www.cnblogs.com/litlife/p/11241571.html
版权

目录

Thinkphp <= 5.0.10 缓存getshell复现

0x01 poc

首先看缓存函数的使用场景

1077935-20190724232301899-2052379398.png

然后会生成以下缓存文件

1077935-20190724232308127-1310053909.png

可以看到,字符串abc直接存储到以php结尾的缓存文件中。尝试使用\n换行getshell

1077935-20190724232312765-1718682128.png

1077935-20190724232317724-1258099832.png

语法有错,注释一下后面的垃圾字符,成功getshell。

1077935-20190724232322455-1634076104.png

1077935-20190724232328443-1197315233.png

1077935-20190724232333460-1636087533.png

0x02 跟踪源码

1077935-20190724232338714-1179555309.png

首先跟进18行的Cache::set()函数

1077935-20190724232343981-766879320.png

跟进self::init()

1077935-20190724232353614-1245814598.png

self::$handler此时为null,进入true块,由于上面调用的是self::init(),没有参数,故67行条件不满足。

69行,查看配置cache.type的值,发现默认为File,

1077935-20190724232359630-1534740019.png

故此条件也不满足,进入72行。此处以上图的cache数组作为参数,调用了self::connect()。跟进connect方法

1077935-20190724232405192-757958073.png

这里通过一系列判断,根据cache.type的值,找到cache驱动为File,对应44行的think\cache\driver\File类。然后在51行进行实例化,并return。

回溯到上个函数,也直接return

1077935-20190724232410935-857024524.png

继续回溯

1077935-20190724232434858-1621250331.png

这里调用了return过来的实例的set方法。跟进think\cache\driver\File的set方法

1077935-20190724232441019-1987345507.png

可以看到,在142行调用了getCacheKey方法。

1077935-20190724232446004-794766846.png

跟进getCacheKey方法后发现,这里由于options['cache_subdir']默认值是true,所以这里直接用参数md5加密后的结果的前两位作为目录名,剩余30位作为缓存文件名。然后通过拼接.php后return。

继续回来,获取上面构造的filename之后,在146行将$value进行序列化,然后在149行使用gzcompress对其进行二进制压缩。接着在151行在data前后拼接php标签,最后在152行写文件。

1077935-20190724232453306-2119952236.png

这里存在漏洞的点就是151行把用户可控的数据放到了php标签内。

0x03 审计思路

拿到源码后,找到Cache::set(name, value, expire),其中缓存文件名是跟name相关联的,因此可以看作是一个已知条件。漏洞的关键点就是value是否可控。

0x04 补丁

看一下修复之后的结果(v5.0.15)

1077935-20190724232459211-1781267487.png

这里在data之前加了一个exit()强制退出,基本杜绝了data执行php代码的可能。

0x05 参考

ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致 Getshell

转载于:https://www.cnblogs.com/litlife/p/11241571.html

weixin_38170468
关注
ThinkPHP5.0.10_parseWhereItem导致的SQL注入漏洞分析
11-28 608
ThinkPHP5.0.10_parseWhereItem导致的SQL注入漏洞分析 ThinkPHP5.0.10 漏洞代码<?php namespace app\index\controller; class Index{ public function test01(){ $username = request()->get('username/a'); $result = db('users')->where(['username' =&gt
php缓存注入,利用Thinkphp 5缓存漏洞实现前台Getshell
weixin_28848833的博客
03-21 536
原标题:利用Thinkphp 5缓存漏洞实现前台Getshell*本文原创作者:WindWing,属于FreeBuf原创奖励计划,禁止转载0×00 背景网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。(漏洞详情见参考资料)本文将会详细讲解:1. 如何判断缓存漏洞存在的可能性2. 如何利用Thinkphp5的框...
ThinkPHP5.0.10 SQL注入
LYJ20010728的博客
08-13 916
ThinkPHP5.0.10 SQL注入漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 Mysql 类的 parseWhereItem 方法中,由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句;再一个, Request 类的 filterValue 方法漏过滤 NOT LIKE 关键字,最终导致 SQL注入漏洞的产生 漏洞影响版本: ThinkPHP=5.0.10 初始配置 获取测试环境代码 composer create-project --pref
ThinkPHP 5.0 get SHELL
q412539429的博客
02-19 996
Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f 路由信息中controller的部分进行了过滤,可知问题出现在路由调度时 关键代码: 在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。 1.利用sys...
ThinkPHP5.0版本 远程命令执行漏洞GetShell
09-02 294
https://blog.csdn.net/Fly_hps/article/details/84954664 漏洞概况 ThinkPHP是一款国内流行的开源PHP框架,近日被爆出存在可能的远程代码执行漏洞,攻击者可向缓存文件内写入PHP代码,导致远程代码执行。虽然该漏洞利用需要有几个前提条件,但鉴于国内使用ThinkPHP框架的站点数量之多,该漏洞还是存在一定的影响范围。由于框架对控...
Thinkphp 5.1.41 getshell
最新发布
qq_41619801的博客
06-23 2174
首先需要实现反序列化,找到传参数的位置。影响thinkphp 5.1.37——5.1.41测试可以自己实现一个函数为了实现反序列化自动执行的魔法函数,要找到一个析构函数,thinkphp\library\think\process\pipes\Windows.php中有一个继续跟进removeFiles()file_exists会将$filename当作字符串进行处理,触发任意类的__toString()这时候需要找到一个__toString函数能继续向下执行的类,全局搜索。
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
ThinkPHP6.0任意文件创建Getshell复现
玄道的网安博客
12-04 1002
简介 ThinkPHP框架是MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 漏洞概述 该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 环境搭建 在phpstudy中使用composer 换国内镜像 composer config -g repo.packagist composer https://packagist.phpco...
ThinkPHP_getshell-v2.zip
11-11
标题“ThinkPHP_getshell-v2.zip”提示我们关注的是与ThinkPHP框架相关的安全问题,特别是一个可能导致getshell的漏洞。Getshell通常指的是攻击者能够通过某种方式在目标服务器上执行命令,这通常与代码注入漏洞相关...
thinkphp3.1.3 getshell_ThinkPHP3由注入导致的getshell
weixin_39585035的博客
11-21 2144
起因搞一个thinkphp3.1.3开发的贷款诈骗站。大佬通过xss钓鱼,让管理员下载免杀的木马上线,然后拿到了源码。审计源码发现前台存在因为$_REQUEST获取数据而导致的注入,但是密码加密方式为:解开密码的概率不大,同时在后台也没能找到getshell的地方。类似钓鱼,诈骗这类的网站几乎都是在和数据库交互,操作文件的地方比较少。正文Demo如下:我这里使用的thinkphp3.2....
php版本%3e=5.6,ThinkPHP5.0版本 远程命令执行漏洞GetShell
weixin_36427631的博客
03-19 260
https://blog.csdn.net/Fly_hps/article/details/84954664漏洞概况ThinkPHP是一款国内流行的开源PHP框架,近日被爆出存在可能的远程代码执行漏洞,攻击者可向缓存文件内写入PHP代码,导致远程代码执行。虽然该漏洞利用需要有几个前提条件,但鉴于国内使用ThinkPHP框架的站点数量之多,该漏洞还是存在一定的影响范围。由于框架对控制器名没有进行足够...
ThinkPHP 5.x 远程代码getshell漏洞实战分析
weixin_34367845的博客
12-27 416
ThinkPHP 简介 ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,因为其易用性、扩展性,已经成长为国内颇具影响力的WEB应用开发框架 漏洞解析 漏洞引发的原因是框架对控制器名没有进行足够的检测,现拉取ThinkPHP v5.0.22 来进行测试 请求路由 => http://127.0.0.1/public/index.php?s=/index/...
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7035
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8813
ThinkPHP5系列远程代码执行漏洞复现(详细)
php一句话木马连接客户端_代码执行函数之一句话木马
weixin_39580042的博客
12-06 1534
前言大家好,我是阿里斯,一名IT行业小白。今天分享的内容是代码执行函数之一句话木马的构造。内容简单实用,没有过多的废话,希望能帮助到大家。函数eval()$a = $_POST['cmd1'];eval($a);assert()assert($_REQUEST['a']); #11年的菜刀可以使用 ,其它版本不行# 参考链接 https://www.freebuf.com/article...
i春秋网络安全公益赛 web easythinking thinkphp6.0 session任意创建文件、getshell
qq_42188168的博客
02-24 425
首先进来看到url很熟悉,直接访问/user/member/index,发现爆错爆出了版本号 随后去网上搜索thinkphp 6.0漏洞,发现了最近的下面这篇文章 https://www.uedbox.com/post/65126/ 该漏洞可以在目标环境开启session的条件下任意创建文件,且在特定情况下可以getshell。 下面尝试了一下,大写的惊喜。 随后查看了phpinfo()、...
php提权教程,thinkphp 5.x版本代码执行可直接提权getshell
weixin_39647412的博客
03-10 1518
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。影响范围5.x < 5.1.31, <= 5.0.23漏洞分析Thinkphp v5.0.x补丁地址: htt...
ThinkCMF缓存Getshell漏洞分析与利用
这篇由Sp4ceHACK学习呀发表的文章讲述了针对ThinkCMF2.X(基于ThinkPHP3.x框架)的Getshell漏洞利用方法。 ThinkCMF是一款基于ThinkPHP的开源内容管理框架,而ThinkPHP3.x版本默认开启错误日志记录和模板缓存功能。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值