這篇文章給大家分享的是有關(guān)ThinkPHP6任意文件操作漏洞的示例分析的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站建設(shè)、網(wǎng)站制作、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)湛河,十載網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

漏洞介紹

2020年1月10日，ThinkPHP團(tuán)隊(duì)發(fā)布一個(gè)補(bǔ)丁更新，修復(fù)了一處由不安全的SessionId導(dǎo)致的任意文件操作漏洞。該漏洞允許攻擊者在目標(biāo)環(huán)境啟用session的條件下創(chuàng)建任意文件以及刪除任意文件，在特定情況下還可以getshell。

1. 具體受影響版本為ThinkPHP6.0.0-6.0.1。

漏洞復(fù)現(xiàn)

本地環(huán)境采用ThinkPHP 6.0.1+PHP7.1.20+Apache進(jìn)行復(fù)現(xiàn)。在特定情況下執(zhí)行測試驗(yàn)證程序即可寫入一個(gè)webshell，如下圖：

漏洞分析

根據(jù)官方github的commit:

https://github.com/topthink/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2

因而推測，可能是在存儲session時(shí)導(dǎo)致的文件寫入。然后，跟蹤：vendor/topthink/framework/src/think/session/Store.php:254。

這里調(diào)用了一個(gè)write函數(shù)，跟進(jìn)一下：vendor/topthink/framework/src/think/session/driver/File.php:210。

調(diào)用writeFile函數(shù)，跟入：

果然是寫入文件的操作。

繼續(xù)反向看一下文件名是否可控，該文件名來自于最開始的getId()得到的$sessionId的值。既然有g(shù)etId，就會有setId，看一下函數(shù)內(nèi)容：

當(dāng)傳入的參數(shù)$id滿足32位的長度時(shí)，就將該值設(shè)為$this->id?？匆幌抡{(diào)用setId的地方：vendor/topthink/framework/src/think/middleware/SessionInit.php:46。

這里的$cookieName的值是PHPSESSID。

而$sessionId是cookie中名為PHPSESSID的值，因此是攻擊者可控的，從而導(dǎo)致寫入的文件名可控。

寫入的文件名可控，那么寫入的內(nèi)容是否可控呢？分析發(fā)現(xiàn)，寫入的內(nèi)容就是創(chuàng)建session使用的內(nèi)容。但是session的創(chuàng)建是由實(shí)際的后端業(yè)務(wù)邏輯來決定的，而默認(rèn)環(huán)境下并沒有創(chuàng)建session。因此，默認(rèn)環(huán)境下無法做到任意文件寫入。

在對該漏洞的深入分析過程中，我們發(fā)現(xiàn)該漏洞還可以實(shí)現(xiàn)任意文件刪除，且文件刪除對后端業(yè)務(wù)邏輯依賴較低。

還是在vendor/topthink/framework/src/think/session/Store.php:254中：

通過分析驗(yàn)證，我們發(fā)現(xiàn)漏洞（如上圖）還能導(dǎo)致任意文件刪除。

總結(jié)

在目標(biāo)環(huán)境為Windows且開啟session的情況下，容易遭受任意文件刪除攻擊。

在目標(biāo)環(huán)境開啟session且寫入的session可控的情況下，容易遭受任意文件寫入攻擊。

建議相關(guān)用戶及時(shí)升級到ThinkPHP6.0.2版本，以免遭受攻擊。

感謝各位的閱讀！關(guān)于“ThinkPHP6任意文件操作漏洞的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

網(wǎng)站標(biāo)題：ThinkPHP6任意文件操作漏洞的示例分析-創(chuàng)新互聯(lián)
分享路徑：http://weahome.cn/article/poioh.html