0x01 简介
ThinkPHP框架是MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。该漏洞源于ThinkPHP 6.0的某个逻辑漏洞,成功利用此漏洞的攻击者可以实现“任意”文件创建,在特殊场景下可能会导致GetShell。
0x02 漏洞概述
2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。
0x03 影响版本
ThinkPHP 6.0.0-6.0.1
0x04 环境搭建
利用PHPStudy对环境进行搭建
1.安装Composer
下载Composer-Setup.exe ,链接: https://getcomposer.org/download/
执行安装文件,选择php.exe位置,一路默认安装成功
composer拉取环境会卡住,换成国内镜像。
composer config -g repo.packagist composer https://packagist.phpcomposer.com
2.安装thinkphp
TP6下载:https://github.com/top-think/think 下载后放到phpstudy的根目录即可
创新项目之前,先切换到web项目目录windows+R 进入cmd命令窗口
composer create-project topthink/think tp6 (tp6自定义,这个会生成一个文件夹) 这里说一个问题,我这个时间Thinkphp的最新版是6.0.2,用上面的命令下载下来framework是6.0.2版本的,我们需要再执行一条命令:composer require topthink/framework:6.0.0:此时就会把将6.0.0的版本把6.0.2给替换掉
成功后配置php对应的环境变量(这个自行百度),注意php开启和配置的环境变量要对应且要php7.1以上,我这里用的是phpstudypro的最高版本php7.3
接着进入刚刚生成的tp6的目录,输入php think run, 默认运行在localhost:8000
接下来访问127.0.0.1:8000就可以看到搭建成功了
0x05 漏洞利用
在目标环境开启session且写入的session可控的情况下,容易遭受任意文件写入攻击。
修改/app/controller/Index.php 文件
session(‘demo’,$_GET[‘c’]);
修改 /app/middleware.php 文件如下
这里注意PHPSESSID的值一定要是32位(算上.php)这样才可以,接着在通过变量c传递任意代码。
可以看到文件在runtime\session下生成,内容并写入
接下来进行访问即可,同时将phpinfo代码改成一句话代码,即可Getshell。
0x06 修复
目前官网已经更新了thinkphp6.0.2版本(目前最新),修复了该漏洞,建议尽快升级最新版本。
