本篇文章給大家分享的是有關(guān)如何解析ThinkPHP6 任意文件操作漏洞,小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
成都創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比神農(nóng)架林區(qū)網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式神農(nóng)架林區(qū)網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們,業(yè)務(wù)覆蓋神農(nóng)架林區(qū)地區(qū)。費(fèi)用合理售后完善,10余年實(shí)體公司更值得信賴。
漏洞介紹
2020年1月10日,ThinkPHP團(tuán)隊(duì)發(fā)布一個(gè)補(bǔ)丁更新,修復(fù)了一處由不安全的SessionId導(dǎo)致的任意文件操作漏洞。該漏洞允許攻擊者在目標(biāo)環(huán)境啟用session的條件下創(chuàng)建任意文件以及刪除任意文件,在特定情況下還可以getshell。
具體受影響版本為ThinkPHP6.0.0-6.0.1。
漏洞復(fù)現(xiàn)
本地環(huán)境采用ThinkPHP 6.0.1+PHP7.1.20+Apache進(jìn)行復(fù)現(xiàn)。在特定情況下執(zhí)行測試驗(yàn)證程序即可寫入一個(gè)webshell,如下圖:
漏洞分析
根據(jù)官方github的commit:
https://github.com/topthink/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2
因而推測,可能是在存儲(chǔ)session時(shí)導(dǎo)致的文件寫入。然后,跟蹤:vendor/topthink/framework/src/think/session/Store.php:254
。
這里調(diào)用了一個(gè)write函數(shù),跟進(jìn)一下:vendor/topthink/framework/src/think/session/driver/File.php:210。
調(diào)用writeFile函數(shù),跟入:
果然是寫入文件的操作。
繼續(xù)反向看一下文件名是否可控,該文件名來自于最開始的getId()得到的$sessionId的值。既然有g(shù)etId,就會(huì)有setId,看一下函數(shù)內(nèi)容:
當(dāng)傳入的參數(shù)$id滿足32位的長度時(shí),就將該值設(shè)為$this->id。看一下調(diào)用setId的地方:vendor/topthink/framework/src/think/middleware/SessionInit.php:46。
這里的$cookieName的值是PHPSESSID。
而$sessionId是cookie中名為PHPSESSID的值,因此是攻擊者可控的,從而導(dǎo)致寫入的文件名可控。
寫入的文件名可控,那么寫入的內(nèi)容是否可控呢?分析發(fā)現(xiàn),寫入的內(nèi)容就是創(chuàng)建session使用的內(nèi)容。但是session的創(chuàng)建是由實(shí)際的后端業(yè)務(wù)邏輯來決定的,而默認(rèn)環(huán)境下并沒有創(chuàng)建session。因此,默認(rèn)環(huán)境下無法做到任意文件寫入。
在對該漏洞的深入分析過程中,我們發(fā)現(xiàn)該漏洞還可以實(shí)現(xiàn)任意文件刪除,且文件刪除對后端業(yè)務(wù)邏輯依賴較低。
還是在vendor/topthink/framework/src/think/session/Store.php:254中:
通過分析驗(yàn)證,我們發(fā)現(xiàn)漏洞(如上圖)還能導(dǎo)致任意文件刪除。
在目標(biāo)環(huán)境為Windows且開啟session的情況下,容易遭受任意文件刪除攻擊。
在目標(biāo)環(huán)境開啟session且寫入的session可控的情況下,容易遭受任意文件寫入攻擊。
建議相關(guān)用戶及時(shí)升級到ThinkPHP6.0.2版本,以免遭受攻擊。
以上就是如何解析ThinkPHP6 任意文件操作漏洞,小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。
網(wǎng)站標(biāo)題:如何解析ThinkPHP6任意文件操作漏洞
網(wǎng)站鏈接:http://m.rwnh.cn/article18/pedogp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、企業(yè)網(wǎng)站制作、品牌網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)