Thinkphp <= 5.0.10 缓存导致的Getshell

漏洞代码:

    public function myCache(){
        $a = "\nphpinfo();//";
        Cache::set("hack to cache",$a);
        return "cache ok!!!";
    }

访问:http://tp50.com/index.php/index/index/myCache

漏洞分析:

下断点分析

首先是Cache::set("hack to cache",$a);,该类没有实例化,进行自动加载机制进行实例化

然后先来到Cache::set方法中

随后就是先进入 init 的初始化方法中 接着继续进入connect方法中

先调用Cache::get方法,该方法中是返回 cache的相关的参数

然后返回 来到connecct方法中,该方法默认返回File类的实例化

最后进入 set 方法中

其中 file_put_contents 方法写入的内容可控 导致 缓存文件getshell

最后自己发现的是:tp5下面 如果web目录设置为./public下 那么也无法通过路由访问runtime

修复:

看一下修复之后的结果(v5.0.15)

文章参考:https://www.cnblogs.com/litlife/p/11241571.html

posted @ 2020-03-23 15:01  zpchcbd  阅读(272)  评论(0编辑  收藏