首页 / 缓存 / Thinkphp缓存RCE
Thinkphp缓存RCE
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了Thinkphp缓存RCE,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1929字,纯文字阅读大概需要3分钟。
内容图文
![Thinkphp缓存RCE](/upload/InfoBanner/zyjiaocheng/801/e4c94515b37b477ba50b234e13390d0f.jpg)
5.0.0<=ThinkPHP5<=5.0.10 。
漏洞利用条件:
1.基于tp5开发的代码中使用了Cache::set 进行缓存
2.在利用版本范围内
3.runtime目录可以访问
扩展:
1.不可访问,可以考虑包含。前提要找到包含处。//Tp有一个Cache一个包含
2.利用缓存,做一个长期的shell动态生成。
漏洞原因:缓存名,可以预测,缓存内容用户可控。
造成漏洞代码
<?php
namespace app\index\controller;
use think\Cache;
class Index
{
public function index()
{
Cache::set("name",input("get.username"));
return 'Cache success';
}
}
use think\Cache; 跟到think\Cache.php
think\Cache.php 文件内容
use think\cache\Driver;
set 方法
缓存写入次数
return self::init()->set($name, $value, $expire);
自动缓存
在init 方法里
Config::get('cache.type')
默认为File类型
程序获取cache type 以后
这样就加载了 \think\cache\driver\File.php
return self::init()->set($name, $value, $expire);
通过Init() 调用file 下的set方法
if (is_null($expire)) {
$expire = $this->options['expire'];
}
那么$expire=0
目录名以及文件名:
protected function getCacheKey($name, $auto = false)
{
$name = md5($name);
if ($this->options['cache_subdir']) {
// 使用子目录
$name = substr($name, 0, 2) . DS . substr($name, 2); //目录名取md5($name)的前2位,文件名为后30位
}
if ($this->options['prefix']) {
$name = $this->options['prefix'] . DS . $name;
}
$filename = $this->options['path'] . $name . '.php';
$dir = dirname($filename);
if ($auto && !is_dir($dir)) {
mkdir($dir, 0755, true);
}
return $filename;
}
$filename
找到set 的缓存名 就可以了 进行md5加密
前2位 为目录名,后30位 为文件名
在Set中 只是对value做了一个序列化的操作,并没有做过滤。
来dump一下 serialize 前后变化
文件的写入,这里为tp5.0.15 版本,作者对$data 进行了位置修改,并在$data 前,做了
exit()来避免用户输入的数据,被代码执行。 并且在$expire 这处,做了一个%012d强制的类型转换
在tp5.0.10 之前,这段代码是这样的
写入的数据,之前没有exit,并且对$data 没有做过滤
导致利用%0a换行,进行代码执行。
我们访问一下文件
成功可以代码执行
内容总结
以上是互联网集市为您收集整理的Thinkphp缓存RCE全部内容,希望文章能够帮你解决Thinkphp缓存RCE所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。