ThinkPhp3.2.3缓存漏洞复现以及修复建议

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第1张图片

ThinkPhp3.2.3缓存漏洞复现以及修复建议

今天早上无意间看到thinkphp的缓存漏洞,小编在实际开发过程中用thinkphp3.2.3挺多的。

漏洞原文链接:https://xianzhi.aliyun.com/forum/read/1973.html有兴趣的小伙伴可以去详细的学习一下 我们这里来复现一下漏洞 后面我会提出修复建议

 

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第2张图片

首先我们下载最新的thinkphp3.2.3的框架 搭建好

按照phpoop牛的审计 我们来写代码

然后我们来post一段代码

a3=%0A%24a%3deval(%24_POST%5b%27a3%27%5d)%3b%2f%2f

 

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第3张图片

 

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第4张图片

我们可以看到缓存文件已经出现了

至于这个缓存名称

就是

S('name',$a);

中的name的md5

我们来连接这个一句话木马

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第5张图片

我们可以看到

这个漏洞是可以利用的但是这个漏洞比较鸡肋

我们在开发的过程种s缓存一般不会用作接收参数的缓存(me就是 接收过来的参数只查询并不进行其他操作)

thinkphp官方手册当中http://document.thinkphp.cn/manual_3_2.html#input_var

详细的讲解了I函数

我们在实际应用的过程当中有详细的解释 比如我们要接收id的时候 id是整数

那么就可以写成I('post.id/d')这样强制转换为整数

实际应用种很少有把接受过来的参数直接缓存起来

修复方案也很简单

  1. phpoop牛的方法

打开文件:thinkphp\library\think\cache\driver\File.php

public function set($name, $value, $expire = null) 方法

添加:$data = str_replace(PHP_EOL, '', $data);

   /**
     * 写入缓存
     * @access public
     * @param string $name 缓存变量名
     * @param mixed $value  存储数据
     * @param int $expire  有效时间 0为永久
     * @return boolean
     */
    public function set($name,$value,$expire=null) {
        N('cache_write',1);
        if(is_null($expire)) {
            $expire =  $this->options['expire'];
        }
        $filename   =   $this->filename($name);
        $data   =   serialize($value);
        $data = str_replace(PHP_EOL, '', $data); //新增这句代码     修复代码在这里/***********************/////
        if( C('DATA_CACHE_COMPRESS') && function_exists('gzcompress')) {
            //数据压缩
            $data   =   gzcompress($data,3);
        }
        if(C('DATA_CACHE_CHECK')) {//开启数据校验
            $check  =  md5($data);
        }else {
            $check  =  '';
        }
        $data    = "";
        $result  =   file_put_contents($filename,$data);
        if($result) {
            if($this->options['length']>0) {
                // 记录缓存队列
                $this->queue($name);
            }
            clearstatcache();
            return true;
        }else {
            return false;
        }
    }

2.在Application\Runtime目录中创建文件.htaccess


deny from all

 

ThinkPhp3.2.3缓存漏洞复现以及修复建议_第6张图片

你可能感兴趣的:(bug修复)