ThinkPHP6恣意文件操作误差剖析

宣布时间 2020-01-14

2020年1月10日，，，，ThinkPHP团队宣布一个补丁更新，，，，修复了一处由不清静的SessionId导致的恣意文件操作误差。。。。。。。该误差允许攻击者在目的情形启用session的条件下建设恣意文件以及删除恣意文件，，，，在特定情形下还可以getshell。。。。。。。

详细受影响版本为ThinkPHP6.0.0-6.0.1。。。。。。。

误差复现

外地情形接纳ThinkPHP 6.0.1+PHP7.1.20+Apache举行复现。。。。。。。在特定情形下执行测试验证程序即可写入一个webshell，，，，如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

误差剖析

凭证官方github的commit：https://github.com/top-think/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

因而推测，，，，可能是在存储session时导致的文件写入。。。。。。。然后，，，，跟踪：vendor/topthink/framework/src/think/session/Store.php:254。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

这里挪用了一个write函数，，，，跟进一下：vendor/topthink/framework/src/think/session/driver/File.php:210。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

挪用writeFile函数，，，，跟入：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

果真是写入文件的操作。。。。。。。

继续反向看一下文件名是否可控，，，，该文件名来自于最最先的getId()获得的$sessionId的值。。。。。。。既然有getId，，，，就会有setId，，，，看一下函数内容：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

当传入的参数$id知足32位的长度时，，，，就将该值设为$this->id。。。。。。。挪用setId的地方为：vendor/topthink/framework/src/think/middleware/SessionInit.php:46。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

这里的$cookieName的值是PHPSESSID。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

而$sessionId是cookie中名为PHPSESSID的值，，，，因此是攻击者可控的，，，，从而导致写入的文件名可控。。。。。。。

写入的文件名可控，，，，那么写入的内容是否可控呢？？？？？？剖析发明，，，，写入的内容就是建设session使用的内容。。。。。。。可是session的建设是由现实的后端营业逻辑来决议的，，，，而默认情形下并没有建设session。。。。。。。因此，，，，默认情形下无法做到恣意文件写入。。。。。。。

在对该误差的深入剖析历程中，，，，我们发明该误差还可以实现恣意文件删除，，，，且文件删除对后端营业逻辑依赖较低。。。。。。。

照旧在 vendor/topthink/framework/src/think/session/Store.php:254中：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

通太过析验证，，，，我们发明误差（如上图）还能导致恣意文件删除。。。。。。。

总结

在目的情形为Windows且开启session的情形下，，，，容易遭受恣意文件删除攻击。。。。。。。

在目的情形开启session且写入的session可控的情形下，，，，容易遭受恣意文件写入攻击。。。。。。。

建议相关用户实时升级到ThinkPHP6.0.2版本，，，，以免遭受攻击。。。。。。。

鉴黑担保网起劲防御实验室（ADLab）

ADLab建设于1999年，，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，，微软MAPP妄想焦点成员，，，，“黑雀攻击”看法首推者。。。。。。。阻止现在，，，，ADLab已通过CVE累计宣布清静误差1000余个，，，，通过 CNVD/CNNVD累计宣布清静误差600余个，，，，一连坚持国际网络清静领域一流水准。。。。。。。实验室研究偏向涵盖操作系统与应用系统清静研究、移动智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。。。。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。。。。

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

ThinkPHP6恣意文件操作误差剖析

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线