thinkphp6任意文件創(chuàng)建漏洞復(fù)現(xiàn)怎么辦

這篇文章主要介紹了thinkphp6任意文件創(chuàng)建漏洞復(fù)現(xiàn)怎么辦，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

為撫遠等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及撫遠網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、撫遠網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

01 背景

近日奇安信發(fā)布了 ThinkPHP 6.0 “任意”文件創(chuàng)建漏洞安全風(fēng)險通告，對此，DYSRC第一時間對該漏洞進行了分析，并成功復(fù)現(xiàn)該漏洞。

漏洞影響范圍：top-think/framework 6.x < 6.0.2

02 定位問題

根據(jù)任意文件創(chuàng)建以及結(jié)合近期的commit歷史，可以推測出 1bbe75019 為此次問題的補丁?？梢钥吹皆谘a丁中限制了sessionid只能由字母和數(shù)字組成，由此看來問題更加明顯。

03 原理分析

先拋開上面的問題，我們看一下thinkphp是如何存儲session的。

系統(tǒng)定義了接口thinkcontractSessionHandlerInterface

SessionHandlerInterface::write方法在本地化會話數(shù)據(jù)的時候執(zhí)行，系統(tǒng)會在每次請求結(jié)束的時候自動執(zhí)行。

再看看thinksessiondriverFile類是怎么實現(xiàn)的。

先通過getFileName根據(jù)$sessID生成文件名，再writeFile寫入文件。

跟進getFileName，直接將傳入的$sessID拼接后作為文件名。由于$sessID可控，所以文件名可控。

04 演示

分析到這里，整個漏洞流程基本上已經(jīng)很清晰了。下面給出本地的演示結(jié)果。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“thinkphp6任意文件創(chuàng)建漏洞復(fù)現(xiàn)怎么辦”這篇文章對大家有幫助，同時也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識等著你來學(xué)習(xí)!

分享名稱：thinkphp6任意文件創(chuàng)建漏洞復(fù)現(xiàn)怎么辦
地址分享：http://bm7419.com/article20/goejjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營銷型網(wǎng)站建設(shè)、商城網(wǎng)站、靜態(tài)網(wǎng)站、建站公司、Google、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)