thinkphp6 任意文件创建漏洞复现

背景

近日奇安信发布了 ThinkPHP 6.0 “任意”文件创建漏洞安全风险通告,对此,DYSRC第一时间对该漏洞进行了分析,并成功复现该漏洞

漏洞影响范围:top-think/framework 6.x < 6.0.2

定位问题

根据任意文件创建以及结合近期的commit历史,可以推测出 1bbe75019 为此次问题的补丁。可以看到在补丁中限制了sessionid只能由字母和数字组成,由此看来问题更加明显。

thinkphp6 任意文件创建漏洞复现

原理分析

先抛开上面的问题,我们看一下thinkphp是如何存储session的。

系统定义了接口thinkcontractSessionHandlerInterface

thinkphp6 任意文件创建漏洞复现

SessionHandlerInterface::write方法在本地化会话数据的时候执行,系统会在每次请求结束的时候自动执行。

再看看thinksessiondriverFile类是怎么实现的。

thinkphp6 任意文件创建漏洞复现

先通过getFileName根据$sessID生成文件名,再writeFile写入文件。

跟进getFileName,直接将传入的$sessID拼接后作为文件名。由于$sessID可控,所以文件名可控。

thinkphp6 任意文件创建漏洞复现

演示

分析到这里,整个漏洞流程基本上已经很清晰了。下面给出本地的演示结果。

thinkphp6 任意文件创建漏洞复现

未经允许不得转载:三文雨公园 » thinkphp6 任意文件创建漏洞复现
分享到:
赞(0) 打赏

评论抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

欢迎来到三文雨公园!

加入交流群

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏