Thinkphp5安全漏洞修复方法(5.0,5.1)

最新推荐文章于 2024-08-07 21:30:58 发布
置顶 最新推荐文章于 2024-08-07 21:30:58 发布
阅读量5.8k 收藏 8
点赞数
分类专栏: 安全 文章标签: thinkphp5漏洞 thinkphp5 thinkphp5安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42476734/article/details/86228944
版权
本文介绍了ThinkPHP5框架的安全漏洞修复方法,包括通过composer或git更新,以及在App.php中添加代码来防止控制器名非法注入,避免一句话木马攻击,保护服务器免受phpinfo等敏感信息泄露。遵循此指南可增强ThinkPHP5应用的安全性。
摘要由CSDN通过智能技术生成

安全漏洞更新方法:
1、使用composer或者git直接更新
2、在thinkphp/library/think/文件下找到App.php,如下图
在这里插入图片描述
查找module方法,在这里插入图片描述
找到获取控制器名
在这里插入图片描述
在这句话下面添加一段代码
if (!preg_match(’/1(\w|.)*$/’, $controller)) {
throw new HttpException(404, ‘controller not exists:’ . $controller);
}
在这里插入图片描述
如果没有加这句代码,我们是可以通过url地址栏进行一句话木马植入,出现phpinfo的页面,phpinfo页面暴露,我们服务器的一些敏感文件就会暴露出来,比如我们的php.ini的文件位置,还有我们的php版本都可以暴露无遗。如下图:<

最低0.47元/天 解锁文章
被蛇咬的工程师
关注
专栏目录
Thinkphp V5.X 远程代码执行漏洞 - POC(精:集群5.0*、5.1*、5.2*)
墨痕诉清风的博客
11-07 4491
官方公告:1、2、POC:批量检测单个检测。
thinkphp5.0/5.1 远程命令执行漏洞 解决
qq_40108098的博客
03-19 1504
参考:https://blog.csdn.net/dabao87/article/details/84966882 远程命令执行漏洞是由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 影响版本 ThinkPHP 5.0系列 < 5.0.23 ThinkPHP 5.1系列 &lt...
thinkphp5远程执行代码漏洞修复补丁.zip
04-17
thinkphp5远程执行代码漏洞修复补丁
thinkphp5.0漏洞修复
心学的博客
09-07 1464
thinkphp5.0漏洞修复
常见的框架漏洞 全网最最最详细漏洞复现教程
最新发布
2401_85783544的博客
08-07 522
Web框架(Web framework)或者叫做Web应⽤框架(Web application framework),是⽤于 进⾏Web开发的⼀套软件架构。⼤多数的Web框架提供了⼀套开发和部署⽹站的⽅式。为Web的 ⾏为提供了⼀套⽀持⽀持的⽅法。使⽤Web框架,很多的业务逻辑外的功能不需要⾃⼰再去完 善,⽽是使⽤框架已有的功能就可以。
thinkPHP5.0漏洞修复
qq_37456982的博客
05-07 786
1、在thinkphp/library/think/文件下找到App.php, 搜索// 获取控制器名 $controller = strip_tags($result[1] ?: $config['default_controller']); $controller = $convert ? strtolower($controller) : $controller; //添加...
eclipse的servlet默认不执行index_ThinkPHP 5.x远程命令执行漏洞复现
weixin_39881802的博客
11-21 97
一、漏洞描述2018年12月10日,ThinkPHP官方发布了安全更新,其中修复ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.05.1。二、漏洞影响版本Thinkphp 5.x-Thinkphp 5.1....
ThinkPHP5.0.x远程执行漏洞分析与复现
qq_74148743的博客
05-11 1313
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1....通过以上分析可以看出,ThinkPHP 5.0.x/5.1.x中的变量覆盖RCE漏洞是由于不安全的数据处理和变量管理造成的。开发者应加强对框架内部实现的理解,并遵循最佳安全实践,以减少类似的安全风险。
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
热门推荐
SoulCat
01-27 3万+
ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5....
php安全漏洞怎么修复,thinkphp漏洞如何修复
weixin_42138788的博客
03-16 1068
THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.05.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查询系统的漏洞都进行了修复,官方本以为没有问题了,但是在实际的安全检测当中发现,还是存在问题,还是可以远程代码进行注入,插入非法字符,提交到服务器后端中去。关于这次发现的oday漏洞,我们来看下是怎么样...
Thinkphp5 5.0.22/5.1.29 远程代码执行漏洞 漏洞复现
Boom!脑洞大爆炸的博客
11-11 1960
Thinkphp5 5.0.22/5.1.29 远程代码执行漏洞 漏洞复现
ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查
dayouzi的博客
08-11 1628
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验,可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8826
ThinkPHP5系列远程代码执行漏洞复现(详细)
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
qq_67473072的博客
07-13 6089
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
Thinkphp5.1.4反序列化漏洞复现
m0_64348326的博客
05-12 1338
刚好都是被抽象类Model所使用,但由于抽象类无法被new,也就是实例化,所以我们要找一个它的子类,在phpstorm提示有一个继承者。合并的操作,而call_user_func函数取得也是该参数的地址内的值,所以让它作为get传递的参数名即可,直接赋执行命令的值。然后就是合并请求参数,最后返回调用的input方法,可以看到。在类继承时,我直接调用了privot作为实例化对象,并未继承其父类,而是直接将其父类Model的。数组的键名,这两个属性我们都可控,于是可以返回该数组中$name键名对应的键值。
Thinkphp框架漏洞--->5,2024年最新网络安全进阶
2401_83947105的博客
04-14 1233
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
thinkphp 5.0 验证器 杂项
两个人的幸福online
06-04 543
验证器 是为了在输入到数据库的时候进行验证用的 首先要导入验证类,并且实例化。 use think\Validate; //代码编写,这里是用的是独立操作,注意学习验证规则 $validate = new Validate([ 'name' =&amp;gt; 'require|max:25', 'email' =&amp;gt; 'email' ]); $data = [ ...
Thinkphp 5.0.x-5.1.x 变量覆盖RCE漏洞深度解析
ThinkPHP 5.0.x 和 5.1.x 版本的变量覆盖 Remote Code Execution (RCE) 漏洞分析是一篇关于ThinkPHP框架安全问题的文章,由作者whip1ash在2019年发布。文章指出,在这些早期版本中,存在一个可能导致恶意代码执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值