温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

ThinkPHP6.0中怎么利用Getshell创建任意文件

发布时间:2021-07-09 16:58:12 来源:亿速云 阅读:337 作者:Leah 栏目:安全技术

这篇文章将为大家详细讲解有关ThinkPHP6.0中怎么利用Getshell创建任意文件,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

0x01简介

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。

ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。

该漏洞源于ThinkPHP 6.0的某个逻辑漏洞,成功利用此漏洞的攻击者可以实现“任意”文件创建,在特殊场景下可能会导致GetShell。

0x02漏洞概述

2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

0x03影响范围

ThinkPHP6.0.0-6.0.1

0x04环境搭建

1.phpstudy中PHP设置成7.2版本,并把对应的文件夹放入环境变量path中

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

2.在Phpstudy服务器中打开php.ini文件,找到extension=php_openssl.dll前面的分号去掉,意思是打开ssl扩展,目的是为了能在cmd命令中能进行访问

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

3.安装composer.phar,找到下载内容的地方,去下载当前最新版本的composer.phar

下载地址https://getcomposer.org/download/

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

4. 双击安装,不用勾选,选择下一步

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

5.配置环境变量后自动选择了

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

然后一直下一步,安装完成

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

输入composer查看是否安装成功

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

6.安装tp6 php composer.phar create-project topthink/think tp 6.0.*

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

我这个时间Thinkphp的最新版是6.0.3,用上面的命令下载下来framework是6.0.3版本的,我们需要再执行一条命令,进入下载的目录tp6,使用cmd命令

composer require topthink/framework:6.0.0

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

8. 浏览器访问一下

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

0x05漏洞复现

首先在得到可控session参数名,这是本地构造的,实战需要自己fuzz。

构造位置:tp6\app\controller\index.php

构造的内容

use think\facade\Session;

Session::set('user',$_GET['username']);

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

开启session且写入的session可控,/tp6/app/middleware.php 文件开启session,去掉注释session的//

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

使用Burp抓取首页的包构造payload:username就是我们刚才构造的接受参数,然后将PHPSESSID的值修改为32位的保存路径

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

点击发送,在浏览器访问

ThinkPHP6.0中怎么利用Getshell创建任意文件点击此处添加图片说明文字

0x06修复方式

官方给出的修复方式

对session id 加一个过滤 使用 ctype_alnum()

$this->id = is_string($id) && strlen($id) === 32 ctype_alnum($id) && ? $id : md5(microtime(true) . session_create_id());

关于ThinkPHP6.0中怎么利用Getshell创建任意文件就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI