360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 4374|回复: 2
打印 上一主题 下一主题

ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2017-8-11 12:23:11 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


0x00 框架运行环境
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。
Thinkphp在使用缓存的时候是将数据 序列化 然后存进一个php文件中这就导致我们了我们在一些情况下可以直接getshell
0x01漏洞利用
该漏洞形成最关键的一点是
需要使用框架时,有使用缓存,才能利用这个漏洞
我们这里使用缓存查看官网对这个缓存类的说明以及利用方法
本地按照官方给的文档安装成功后,
根据官网给的缓存使用方法,
新建一个
方法,我们都清楚缓存一般是为了减少数据库的开销为设置的,所以缓存的数据一般也是从数据库获取到的
为了模拟线上,我们这里先查数据库数据在写入缓存。
这里我们写了一个
add添加数据的方法

%2F%2F%0D%0A = //+回车
执行完以后查看方法缓存目录
这里需要特别说的一点是
TP的缓存名字是不变的,所以我们在审计的时候不用怕缓存文件名猜不到的情况。
0x02漏洞分析
上面我们展示了漏洞利用方法,这里我们对这个漏洞进行分析
为了证明我们的逻辑是对的我们这里打印一下返回的数据
通过这个我们就可以知道了下面这个截图的意思
实例化
\thinkp\cache\driver\ 文件里面的
File类 并且调用
set
方法
缓存文件名称的获取方法
Thinkphp3.2 缓存函数设计缺陷
这个感觉没什么可以说的,和上面的原理是一样的,我们只演示攻击的方法
修复方案
通过上面的过程与分析我们可以清楚了解造成这个漏洞的主要原因就是换行与回车导致绕过了注释。那么我们修复的方法就很简单了只要删除这些即可
修复方法:
1,打开文件:thinkphp\library\think\cache\driver\File.php
2,找到:public function set($name, $value, $expire = null) 方法
3,添加:$data = str_replace(PHP_EOL, '', $data);  如下图

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

0

主题

3

帖子

3

积分

新手上路

Rank: 1

积分
3
沙发
发表于 2023-5-18 15:57:15 | 只看该作者
通过上面的过程与分析我们可以清楚了解造双色球走势图

开奖网开奖结果 成这个漏洞的主要原因就是换行与回车导致绕过了注释。那么我们修复的方法就很简单了只要删除这些即可
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-12-5 03:03 , Processed in 0.083079 second(s), 29 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表