thinkphp6 任意檔案建立漏洞復現

01 背景

 近日奇安信發布了ThinkPHP 6.0 「任意」檔案建立漏洞安全風險通告，對此，DYSRC第一時間對該漏洞進行了分析，並成功復現該漏洞。

漏洞影響範圍：top-think/framework 6.x

02 定位問題

#根據任意文件創建以及結合近期的commit歷史，可以推測出1bbe75019 為此問題的補丁。可以看到在補丁中限制了sessionid只能由字母和數字組成，由此看來問題更加明顯。

03 原理分析

#先拋開上面的問題，我們來看看thinkphp是如何儲存session的。

系統定義了介面thinkcontractSessionHandlerInterface

SessionHandlerInterface::write方法在本地化會話資料的時候執行，系統會在每次要求結束的時候自動執行。

再看看thinksessiondriverFile類別是怎麼實現的。

先透過getFileName依照$sessID產生檔名，再writeFile寫入檔案。

跟進getFileName，直接將傳入的$sessID拼接後作為檔案名稱。由於$sessID可控，所以檔案名稱可控。

04 示範

分析到這裡，整個漏洞流程基本上已經很清楚了。下面給出本地的演示結果。

php中文網，大量的免費thinkphp入門教學，歡迎線上學習！

以上是thinkphp6 任意檔案建立漏洞復現的詳細內容。更多資訊請關注PHP中文網其他相關文章！