ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战

0×00 前言

ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的安全问题。

0×01 环境搭建

工具

phpstudy

http://www.phpstudy.net/phpstudy/phpStudy20161103.zip

Jymusic cms

http://www.jyuu.cn/topic/t/41

xyhcms

https://pan.baidu.com/s/1qYhTKc8

搭建

安装好phpstudy,把jymusic目录下的所有文件及文件夹拷贝到phpstudy的www目录下,浏览器访问http://localhost/install.php,然后配置一下数据库信息即可。

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第1张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第2张图片

另外xyhcms安装类似,这里不赘述。

0×02本地后台getshell

Jymusic cms

先看一下管理员登录页面的源代码,看到核心入口为ThinkPHP.php,找到并打开查看

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第3张图片

发现应用缓存目录为Temp文件夹

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第4张图片

打开Temp文件夹会发现有很多缓存文件,我们随便打开即可看看,可以发现里面的内容有点像网站配置信息,只不过是序列化后的结果

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第5张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第6张图片

所以我们在后台的网站设置处插入一句话,就会被ThinkPHP写入缓存文件。而且这个缓存文件的文件名都是固定不变的,这也是导致getshell的原因。

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第7张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第8张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第9张图片

成功插入后,我们来执行一下phpinfo()函数看看,菜刀也能成功连接

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第10张图片

 

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第11张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第12张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第13张图片

xyhcms

xyhcms和Jymusic cms一样使用了ThinkPHP框架,这里不赘述,直接给出缓存文件的位置

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第14张图片

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第15张图片

xyhcms其实还有一个漏洞,在模板管理处可以添加一个php后缀的模板,文件内容也未做任何检测过滤。下面是成功getshell过程

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第16张图片

 

ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战_第17张图片

0×03总结

其实现在很多小型网站都是基于ThinkPHP框架开发的,很多都存在这种问题。当你找不到上传点的时候,可以试试这种方法。当然,肯定有人会说,这个要后台登录才能利用,你只是在本地复现,都没实战过,说个锤子。其实,我还真的实战过,只是不方便贴图,使用弱口令做密码还是挺多的,所以锤子未必不可用。还有,有的网站,虽然说你用很简单的方法getshell,但是其实可以研究的东西还有很多,比如你getshell之后发现权限不够,那就可以试试提权,例如用udf提权、使用mysql远程连接结合sqlmap提权等等,虽然有些方法很早就有了,但是并不是每个人都会,而且一些老的思路还有可能启发你新的思考,继续加油吧!

转自:https://www.freebuf.com/articles/web/148629.html

你可能感兴趣的:(【框架漏洞】,———ThinkPHP)