首頁 >php框架 >ThinkPHP >ThinkPHP6 任意檔案操作漏洞分析

ThinkPHP6 任意檔案操作漏洞分析

藏色散人
藏色散人轉載
2020-01-20 14:13:594423瀏覽

漏洞介紹

2020年1月10日,ThinkPHP團隊發布一個修補程式更新,修復了一處由不安全的SessionId導致的任意檔案操作漏洞。該漏洞允許攻擊者在目標環境啟用session的條件下創建任意文件以及刪除任意文件,在特定情況下還可以getshell。

  1. 具體受影響版本為ThinkPHP6.0.0-6.0.1。

漏洞重複

本機環境採用ThinkPHP 6.0.1 PHP7.1.20 Apache進行複現。在特定情況下執行測試驗證程式即可寫入一個webshel​​l,如下圖:

ThinkPHP6 任意檔案操作漏洞分析

ThinkPHP6 任意檔案操作漏洞分析

漏洞分析

根據官方github的commit:

ThinkPHP6 任意檔案操作漏洞分析

https://github.com/topthink/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2

因而推測,可能是在儲存session時導致的檔案寫入。然後,追蹤:vendor/topthink/framework/src/think/session/Store.php:254

ThinkPHP6 任意檔案操作漏洞分析

這裡呼叫了一個write函數,跟進一下:vendor/topthink/framework/src/think/session/driver/File.php:210。

ThinkPHP6 任意檔案操作漏洞分析

呼叫writeFile函數,跟入:

ThinkPHP6 任意檔案操作漏洞分析

#果然是寫入檔案的動作。

繼續反向看一下檔案名稱是否可控,該檔案名稱來自於最開始的getId()所得到的$sessionId的值。既然有getId,就會有setId,看函數內容:

ThinkPHP6 任意檔案操作漏洞分析

當傳入的參數$id滿足32位元的長度時,就將該值設為$ this->id。來看看呼叫setId的地方:vendor/topthink/framework/src/think/middleware/SessionInit.php:46。

ThinkPHP6 任意檔案操作漏洞分析

這裡的$cookieName的值是PHPSESSID。

ThinkPHP6 任意檔案操作漏洞分析

而$sessionId是cookie中名為PHPSESSID的值,因此是攻擊者可控的,從而導致寫入的檔案名稱可控。

寫入的檔案名稱可控,那麼寫入的內容是否可控呢?分析發現,寫入的內容就是創造session所使用的內容。但是session的創建是由實際的後端業務邏輯來決定的,而預設環境下並沒有創建session。因此,預設環境下無法做到任意檔案寫入。

在對該漏洞的深入分析過程中,我們發現該漏洞還可以實現任意檔案刪除,且檔案刪除對後端業務邏輯依賴較低。

還是在vendor/topthink/framework/src/think/session/Store.php:254:

ThinkPHP6 任意檔案操作漏洞分析

透過分析驗證,我們發現漏洞(如上圖)還能導致任意檔案刪除。

總結

在目標環境為Windows且開啟session的情況下,容易遭受任意檔案刪除攻擊。

在目標環境開啟session且寫入的session可控的情況下,容易遭受任意檔案寫入攻擊。

建議相關用戶及時升級至ThinkPHP6.0.2版本,以免遭受攻擊。

php中文網,大量的免費thinkphp入門教學,歡迎線上學習!

以上是ThinkPHP6 任意檔案操作漏洞分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:seebug.org。如有侵權,請聯絡admin@php.cn刪除