Thinkphp5文件包含漏洞怎么解決

這篇文章主要講解了“Thinkphp5文件包含漏洞怎么解決”，文中的講解內(nèi)容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“Thinkphp5文件包含漏洞怎么解決”吧！

什么是文件包含漏洞

首先我們先了解一下什么是文件包含漏洞，文件包含可以分為本地包含和遠程包含，有些時候網(wǎng)站會將文件進行包含來執(zhí)行，這屬于是常規(guī)操作，但若網(wǎng)站并沒有對包含文件進行限制，攻擊者便可以包含一些惡意文件來達到命令執(zhí)行的效果。這里列出四個常見的PHP包含函數(shù)：

漏洞簡述

在該框架中，由于在加載模版解析變量時存在變量覆蓋問題，但像上面所說的一樣沒有對信息進行過濾，從而框架中產(chǎn)生了文件包含漏洞。影響版本如下：

5.0.0 <= Thinkphp <= 5.0.18

5.1.0 <= ThinkPHP <= 5.1.10

漏洞復現(xiàn)

首先我們先搭建一個存在該漏洞的框架版本：

配置好服務后我們開始進行代碼審計，首先先在application/index/controller/Index.php路徑下修改代碼：

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
    public function index()
    {
        $this->assign(request()->get());
        return $this->fetch(); // 當前模塊/默認視圖目錄/當前控制器（小寫）/當前操作（小寫）.html
    }
}

之后在路徑application/index/view/index/ 下創(chuàng)建html模板文件，之后便可以進行分析：

我們根據(jù)上面代碼：

public function index()
    {
        $this->assign(request()->get());
        return $this->fetch(); 
    }

跟進至assign函數(shù)，后繼續(xù)跟進：

我們審計到library/think/View.php下，分析下面的代碼：

里面有一個arrar_merge()函數(shù)，我們簡單看一下如何應用：

可以看到該函數(shù)起到一個合并數(shù)組的作用，賦值后跟進到fetch,直到下面圖片這個位置：

我們這里有一段代碼：

$this->engine->$method($template, $vars, $config);

我們跟進method值在view\driver\Think.php,跟進fetch后再跟進read方法，最后走到了template\driver\File.php，這里有一段代碼：

extract($vars, EXTR_OVERWRITE);

同時下面還有一個文件包含函數(shù)，因為之前有個vars變量是用戶進行get傳入的，也就是說變量可控，經(jīng)過 $this->data 走到了read，而這里面有個extract函數(shù)可以實現(xiàn)變量覆蓋：

而它的規(guī)則如下：

若第二個參數(shù)值不指定（默認EXTR_OVERWRITE）可能存在變量覆蓋的，覆蓋變量后再進行文件包含惡意文件。這里簡單測試下，我們在public下傳入圖片木馬之后（里面寫入了查詢phpinfo信息的代碼）進行訪問：

public/?cacheFile=1.jpg

成功實現(xiàn)了文件包含：

修復

對于如何修復也是十分簡潔的，get傳參里是否有cachefile鍵，有的話就刪掉，也刪掉_think_cachefile鍵，然后文件包含即可防止該漏洞的產(chǎn)生。

感謝各位的閱讀，以上就是“Thinkphp5文件包含漏洞怎么解決”的內(nèi)容了，經(jīng)過本文的學習后，相信大家對Thinkphp5文件包含漏洞怎么解決這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！