Thinkphp5.0.x 文件包含漏洞

已于 2023-07-30 22:12:35 修改
阅读量616 收藏 1
点赞数
文章标签: 安全 web安全 php
于 2023-07-30 22:03:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61785633/article/details/132008953
版权

前言:这个漏洞我复现的不是很完善,按网上的教程,传入图片码是可以被解析为php文件,从而实现攻击,但是我尝试了几次都不成功,目前还不知道是为什么。

影响版本

5.0.0 <= Thinkphp <= 5.0.18

5.1.0 <= ThinkPHP <= 5.1.10

环境搭建

这里我是在网上直接找的thinkphp5.0.18源码,然后用phpstudy进行搭建的。

源码地址:https://www.codejie.net/5913.html

漏洞复现

首先是进入 application\index\controller\index.php 文件中, 将代码修改为以下内容

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
    public function index()
    {
        $this->assign(request()->get());
        return $this->fetch(); // 当前模块/默认视图目录/当前控制器(小写)/当前操作(小写).html
    }
}

之后在创建 application\index\view\index\index.html 其中index.html的内容可以随意写,只要你能认得出来是这个文件就行。如果没有这个模板文件的话会报错。它的作用其实就是起一个被替换的作用,之后会讲解。

之后就是把图片码放入 public 目录下,以此模拟文件上传,不过我的图片码可能生成或别的原因,无法起作用,这里就放入一个一句话木马文件,仅做演示。

 之后访问 http://localhost/public/?cacheFile=1.php

 代码审计

接下来就是一步一步理解其代码是如何执行的。

application\index\controller\index.php

 1. 我们先跟进 assign() 函数

Controller.php

 可以看到它又指向了其他文件中的 assign() 函数,那 view 的赋值是什么呢。

这里我们可以看到 view 有 View 和 Config两种,这里可以通过后面的方法名意思来判断,或者全局搜索

就这四个文件中有 assign() 方法,但 View.php 有两个,至于选哪个,如果你做过thinkphp的饭序列化,可以明白文件之间要靠 namespaceuse 来联系,这里就不讲了,你们可以看看 Controller.php 和 这两个 View.php 前面的 namespace 和 use 差异来判断。这里选择的就是第一个View.php。

View.php

 这里就可以知道他把我们输入的参数转为了array型。

如:我们传入 ?file=1.jpg

       它会将其转为   array("file" => "1.jpg")

这里assign()方法就审完了。

2. get()方法就没必要跟进了,它其实就是get传参,而request()函数是一个全局函数,它的作用就是获取HTTP的请求数据的。

这里可以知道的就是跟进get()函数, 会在后面进入 filerEXP() 函数中进行数据过滤,不过不会影响到我们。

 3. fetch()函数

Controller.php

 这里又是进行一次跳转。

View.php

第一段意思就是把我们 get传参的参数存入$data中

第二段意思就是又进行一次跳转

 这里可以判断出跳转到了 Think.php文件中

Think.php

 又进行了跳转

 Template.php

 查找storage

 File.php

很明显发现在这里可能会产生文件包含漏洞。但问题也来了,$cacheFile 这个变量的值要怎么赋值呢。这里就利用extract()这个函数的特性。它的作用就是可以把一个数组类型,其键值取出单独作为一个变量,之后对应的值就作为这个变量的值。

例:

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>

//运行结果: $a = Cat; $b = Dog; $c = Horse

 所以这也就是为什么我们要传 ?cacheFile=1.php 因为它们先会被转为数组类型 array("cacheFile" => "1.php"), 然后利用 extract 函数就成功控制 $cacheFile 变量,给其赋值。

漏洞修复

File.php文件的read方法中修改为以下内容

 加上这两行。其作用就是在还没进行extract函数之前,先把$cacheFile的值赋给$this->cacheFile,之后再对$this->cacheFile进行包含,这样即使$cacheFile的值发生改变了,也没有什么影响。

补充:

 这里我们可以单独打印以下$this->cacheFile和$cacheFile的值

可以看到其实第二个才是进入read方法时$cacheFile的值,其赋值过程在 Template.php,fetch方法中

wing_let
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Thinkphp5.0.23-rce漏洞复现
qq_64875725的博客
06-02 2462
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。: 'GET';} elseif (!} else {
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-23 1153
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
ThinkPHP 5.0远程命令执行漏洞分析与复现
weixin_35771144的博客
02-27 1043
0x00 前言   ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 0x01 影响范围 ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 3586
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP文件包含,远程执行漏洞分析
Fiverya的博客
12-13 1354
文件包含,代码执行漏洞漏洞编号:QVD-2022-46174
#Thinkphp5.x漏洞
bmxch的博客
01-20 345
#Thinkphp5.x漏洞 系统类型:linux 漏洞类型:Thinkphp5.x漏洞 漏洞URL:http://192.168.1.246/public/ 漏洞详情: 已知真实IP是192.168.1.246,扫后台 然后扫这两个网页是否存在漏洞 上传一句话木马到靶机 代码: http://192.168.1.246/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=syste
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
thinkphp5.0.rar
09-29
本压缩包包含了官方提供的三本重要手册,分别是《ThinkPHP5快速入门》、《ThinkPHP5.0完全开发手册》以及《ThinkPHP5控制器从入门到精通》,另外还附带了一个名为"thinkphp.txt"的文本文件,可能是框架的一些基础...
thinkphp5.0.rar.rar
10-08
本压缩包"thinkphp5.0.rar.rar"包含了ThinkPHP5.0的核心文件,是学习和开发基于该框架的Web应用的重要资源。 1. **框架概述**:ThinkPHP5.0是基于PHP5.5+版本构建的,其设计原则是“大道至简”,旨在提供一个轻量级...
ThinkPHP3.2.x RCE漏洞通报1
08-03
漏洞的原理在于,ThinkPHP在处理模板文件时,如果业务代码中使用了`assign`方法,并且第一个参数是可控的,攻击者可以通过构造特定的输入,改变模板文件的路径,将其指向包含恶意代码的文件。一旦模板引擎解析这个...
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现
yzl_007的博客
08-04 1189
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现 影响范围 ThinkPHP 5.0.全版本 5.0.13~5.0.19的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞漏洞复现 远程代码执行 直接get请求即可 ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=pwd pw
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8528
ThinkPHP5系列远程代码执行漏洞复现(详细)
ThinkPHP5.0.x远程执行漏洞分析与复现
qq_74148743的博客
05-11 1117
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 393
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
ThinkPHP 5.x远程命令执行漏洞复现
WY92139010的博客
09-23 691
ThinkPHP 5.x远程命令执行漏洞复现 一、漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。 ...
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 6949
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
Thinkphp5 文件包含漏洞
feng的博客
03-09 1579
前言 本次漏洞存在于 ThinkPHP 模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。 创建: composer create-project topthink/think=5.0.18 thinkphp5.0.18 "require": { "php": ">=5.
thinkphp5.x 漏洞 修复
10-30
ThinkPHP是一款流行的PHP开发框架,5.x版本也是比较常用的版本。虽然ThinkPHP是一个优秀的框架,但仍然存在一些潜在的安全漏洞,因此及时修复这些漏洞是非常重要的。修复ThinkPHP 5.x漏洞可以从以下几个方面入手: 1. 更新最新版本:保持框架的版本更新是修复漏洞的首要措施。ThinkPHP团队会不断发布更新版本来修复漏洞和增加新功能,因此及时更新到最新版本是必要的。可以在官方网站上查看并下载最新版本的ThinkPHP。 2. 安全审计:进行代码审计是另一个重要的步骤。检查应用程序的代码和配置文件,特别是控制器和模型中的用户输入和数据库查询,以确保没有任何可能导致代码执行或SQL注入等安全问题的漏洞。 3. 安全加固:可以通过加强安全措施来修复漏洞。例如,禁用不必要的文件或函数、密钥管理和访问控制等措施可以帮助提高系统的安全性。 4. 过滤用户输入:用户输入是最常见的安全漏洞来源之一。应该对用户输入数据进行严格的过滤和验证,确保输入的数据符合预期的格式和范围,并防止XSS和SQL注入等攻击。 5. 强化认证与权限管理:加强用户认证措施,使用强密码和加密技术来保护用户的登录信息。在系统中实施严格的权限管理,限制用户的访问权限,以避免恶意用户越权操作。 总之,修复ThinkPHP 5.x漏洞需要全面考虑各个方面的安全问题,并严格遵循最佳实践。及时更新版本、进行安全审计、加强安全措施、过滤用户输入、强化认证与权限管理等措施都是非常有效的方法。同时也建议开发者关注ThinkPHP官方的漏洞公告和安全建议,及时了解并修复已经公开的漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值