溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

發(fā)布時間:2021-01-16 10:14:49 來源:億速云 閱讀:297 作者:小新 欄目:編程語言

這篇文章主要介紹了thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。

01 背景

近日奇安信發(fā)布了 ThinkPHP 6.0 “任意”文件創(chuàng)建漏洞安全風險通告,對此,DYSRC第一時間對該漏洞進行了分析,并成功復現(xiàn)該漏洞。

漏洞影響范圍:top-think/framework 6.x < 6.0.2

02 定位問題

根據(jù)任意文件創(chuàng)建以及結(jié)合近期的commit歷史,可以推測出 1bbe75019 為此次問題的補丁??梢钥吹皆谘a丁中限制了sessionid只能由字母和數(shù)字組成,由此看來問題更加明顯。

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

03 原理分析

先拋開上面的問題,我們看一下thinkphp是如何存儲session的。

系統(tǒng)定義了接口thinkcontractSessionHandlerInterface

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

SessionHandlerInterface::write方法在本地化會話數(shù)據(jù)的時候執(zhí)行,系統(tǒng)會在每次請求結(jié)束的時候自動執(zhí)行。

再看看thinksessiondriverFile類是怎么實現(xiàn)的。

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

先通過getFileName根據(jù)$sessID生成文件名,再writeFile寫入文件。

跟進getFileName,直接將傳入的$sessID拼接后作為文件名。由于$sessID可控,所以文件名可控。

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

04 演示

分析到這里,整個漏洞流程基本上已經(jīng)很清晰了。下面給出本地的演示結(jié)果。

thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦

感謝你能夠認真閱讀完這篇文章,希望小編分享的“thinkphp6任意文件創(chuàng)建漏洞復現(xiàn)怎么辦”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業(yè)資訊頻道,更多相關知識等著你來學習!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI