首頁 >php框架 >ThinkPHP >thinkphp6 任意檔案建立漏洞復現

thinkphp6 任意檔案建立漏洞復現

藏色散人
藏色散人轉載
2020-01-20 14:06:365376瀏覽

01 背景

 近日奇安信發布了ThinkPHP 6.0 「任意」檔案建立漏洞安全風險通告,對此,DYSRC第一時間對該漏洞進行了分析,並成功復現該漏洞。

漏洞影響範圍:top-think/framework 6.x

02 定位問題

#根據任意文件創建以及結合近期的commit歷史,可以推測出1bbe75019 為此問題的補丁。可以看到在補丁中限制了sessionid只能由字母和數字組成,由此看來問題更加明顯。

thinkphp6 任意檔案建立漏洞復現

03 原理分析

#先拋開上面的問題,我們來看看thinkphp是如何儲存session的。

系統定義了介面thinkcontractSessionHandlerInterface

thinkphp6 任意檔案建立漏洞復現

SessionHandlerInterface::write方法在本地化會話資料的時候執行,系統會在每次要求結束的時候自動執行。

再看看thinksessiondriverFile類別是怎麼實現的。

thinkphp6 任意檔案建立漏洞復現

先透過getFileName依照$sessID產生檔名,再writeFile寫入檔案。

跟進getFileName,直接將傳入的$sessID拼接後作為檔案名稱。由於$sessID可控,所以檔案名稱可控。

thinkphp6 任意檔案建立漏洞復現

04 示範

分析到這裡,整個漏洞流程基本上已經很清楚了。下面給出本地的演示結果。

thinkphp6 任意檔案建立漏洞復現

php中文網,大量的免費thinkphp入門教學,歡迎線上學習!

以上是thinkphp6 任意檔案建立漏洞復現的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:斗鱼安全应急响应中心。如有侵權,請聯絡admin@php.cn刪除