Thinkphp <= 5.0.10 缓存导致的Getshell
前言:Thinkphp <= 5.0.10 缓存导致的Getshell笔记
参考文章:https://www.cnblogs.com/litlife/p/11241571.html
漏洞代码:
public function myCache(){
$a = "\nphpinfo();//";
Cache::set("hack to cache",$a);
return "cache ok!!!";
}
访问:http://tp50.com/index.php/index/index/myCache
漏洞分析:
下断点分析
首先是Cache::set("hack to cache",$a);
,该类没有实例化,进行自动加载机制进行实例化
然后先来到Cache::set方法中
随后就是先进入 init 的初始化方法中 接着继续进入connect方法中
先调用Cache::get方法,该方法中是返回 cache的相关的参数
然后返回 来到connecct方法中,该方法默认返回File类的实例化
最后进入 set 方法中
其中 file_put_contents 方法写入的内容可控 导致 缓存文件getshell
最后自己发现的是:tp5下面 如果web目录设置为./public下 那么也无法通过路由访问runtime
修复
看一下修复之后的结果(v5.0.15)