91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何解析ThinkPHP6 任意文件操作漏洞

發布時間:2021-10-15 10:19:41 來源:億速云 閱讀:133 作者:柒染 欄目:編程語言

本篇文章給大家分享的是有關如何解析ThinkPHP6 任意文件操作漏洞,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

漏洞介紹

2020年1月10日,ThinkPHP團隊發布一個補丁更新,修復了一處由不安全的SessionId導致的任意文件操作漏洞。該漏洞允許攻擊者在目標環境啟用session的條件下創建任意文件以及刪除任意文件,在特定情況下還可以getshell。

  1. 具體受影響版本為ThinkPHP6.0.0-6.0.1。

漏洞復現

本地環境采用ThinkPHP 6.0.1+PHP7.1.20+Apache進行復現。在特定情況下執行測試驗證程序即可寫入一個webshell,如下圖:

漏洞分析

根據官方github的commit:

https://github.com/topthink/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2

因而推測,可能是在存儲session時導致的文件寫入。然后,跟蹤:vendor/topthink/framework/src/think/session/Store.php:254

這里調用了一個write函數,跟進一下:vendor/topthink/framework/src/think/session/driver/File.php:210。

調用writeFile函數,跟入:

果然是寫入文件的操作。

繼續反向看一下文件名是否可控,該文件名來自于最開始的getId()得到的$sessionId的值。既然有getId,就會有setId,看一下函數內容:

當傳入的參數$id滿足32位的長度時,就將該值設為$this->id。看一下調用setId的地方:vendor/topthink/framework/src/think/middleware/SessionInit.php:46。

這里的$cookieName的值是PHPSESSID。

而$sessionId是cookie中名為PHPSESSID的值,因此是攻擊者可控的,從而導致寫入的文件名可控。

寫入的文件名可控,那么寫入的內容是否可控呢?分析發現,寫入的內容就是創建session使用的內容。但是session的創建是由實際的后端業務邏輯來決定的,而默認環境下并沒有創建session。因此,默認環境下無法做到任意文件寫入。

在對該漏洞的深入分析過程中,我們發現該漏洞還可以實現任意文件刪除,且文件刪除對后端業務邏輯依賴較低。

還是在vendor/topthink/framework/src/think/session/Store.php:254中:

通過分析驗證,我們發現漏洞(如上圖)還能導致任意文件刪除。

在目標環境為Windows且開啟session的情況下,容易遭受任意文件刪除攻擊。

在目標環境開啟session且寫入的session可控的情況下,容易遭受任意文件寫入攻擊。

建議相關用戶及時升級到ThinkPHP6.0.2版本,以免遭受攻擊。

以上就是如何解析ThinkPHP6 任意文件操作漏洞,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

揭阳市| 星子县| 阿图什市| 明水县| 博爱县| 昌乐县| 城口县| 库尔勒市| 梁河县| 博罗县| 陈巴尔虎旗| 乡宁县| 泸定县| 福州市| 阆中市| 云林县| 永安市| 昭觉县| 镇安县| 明光市| 乐陵市| 永德县| 石阡县| 蒙城县| 平阳县| 铜鼓县| 上犹县| 宝清县| 铁岭县| 肇东市| 安顺市| 察隅县| 广元市| 疏附县| 桐柏县| 临朐县| 威海市| 城市| 双流县| 肥东县| 古浪县|