藍(lán)暢首頁(yè) >> 動(dòng)態(tài)
Thinkphp框架filter參數(shù)漏洞解析
時(shí)間:2019-05-24 00:00:00 | 來(lái)源:
漏洞介紹
CNNVD編號(hào):CNNVD-201812-489
nonecms的作者通過(guò)升級(jí) thinkphp 框架的版本把漏洞修復(fù)了
查看 thinkphp/library/think/App.php 這個(gè)文件的修改歷史可以發(fā)現(xiàn)
更新框架前是5.1.0
const VERSION = '5.1.0';
更新框架后是5.1.31
const VERSION = '5.1.31 LTS';
漏洞修復(fù)
漏洞出現(xiàn)在 NoneCMS/thinkphp/library/think/route/dispatch/Url.php 文件中的parseUrl方法里
// 解析模塊
$module=$this->app->config('app_multi_module') ? array_shift($path) : null;
if($this->param['auto_search']){
$controller=$this->autoFindController($module, $path);
}else{
// 解析控制器
$controller=!empty($path) ? array_shift($path) : null;
}
// 解析操作
$action=!empty($path) ? array_shift($path) : null;
// 解析額外參數(shù)
if($path){
if($this->app['config']->get('url_param_type')){
$var+=$path;
}else{
preg_replace_callback('/(w+)|([^|]+)/', function($match)use(&$var){
$var[$match[1]]=strip_tags($match[2]);
}, implode('|', $path));
}
}
為了修復(fù)漏洞,thinkphp官方添加了新的代碼
if($this->param['auto_search']){
$controller=$this->autoFindController($module, $path);
}else{
// 解析控制器
$controller=!empty($path) ? array_shift($path) : null;
}
/**** 加入了這段代碼 ****
if ($controller && !preg_match('/^[A-Za-z](w|.)*$/', $controller)) {
throw new HttpException(404, 'controller not exists:' . $controller);
}
**** 加入了這段代碼 ****/
// 解析操作
$action=!empty($path) ? array_shift($path) : null;
具體修改歷史可以在以下鏈接找到
概括地說(shuō),就是把library/think/route/dispatch/Module.php 的代碼移動(dòng)到 library/think/route/dispatch/Url.php
$controller變量的校驗(yàn)代碼經(jīng)過(guò)多次改進(jìn)之后,變成下面這個(gè)樣子
if($controller&&!preg_match('/^[A-Za-z][w|.]*$/', $controller)){
thrownewHttpException(404, 'controller not exists:' . $controller);
}
[A-Za-z][w|.]* 這個(gè)正則表達(dá)式的含義是 $controller 的第一個(gè)字符是字母A-Za-z。 [w|.] 匹配 a-zA-Z0-9_ 和 .。 例如可以匹配 a.b.abc123.., 所以嚴(yán)格來(lái)說(shuō), 這個(gè)正則表達(dá)式不是特別準(zhǔn)確 。
漏洞運(yùn)行
如果上面這段 $controller 變量的校驗(yàn)代碼去掉并訪問(wèn)下面類(lèi)似的鏈接,就會(huì)復(fù)現(xiàn)之前的漏洞。
http://xxx.com/NoneCms/public/?s=index/thinkRequest/input&filter=phpinfo&data=1這時(shí)候變量 $controller 等于 thinkRequest
當(dāng)執(zhí)行到文件 NoneCMS/thinkphp/library/think/Request.php 中的代碼的時(shí)候, $filter = "phpinfo", $value = 1
privatefunctionfilterValue(&$value, $key, $filters)
{
$default=array_pop($filters);
foreach($filtersas$filter){
if(is_callable($filter)){
// 調(diào)用函數(shù)或者方法過(guò)濾
$value=call_user_func($filter, $value);
等于執(zhí)行了以下代碼,這樣php運(yùn)行環(huán)境的敏感信息就泄露了。適當(dāng)構(gòu)造URL參數(shù)就可以實(shí)現(xiàn)更多攻擊和破解操作。
$filter="phpinfo";
$value=1;
call_user_func($filter, $value);
總結(jié)
調(diào)用call_user_func函數(shù)時(shí),要進(jìn)行參數(shù)校驗(yàn)。
對(duì)于 HTTP GET 請(qǐng)求里的參數(shù)盡可能使用嚴(yán)格的正則表達(dá)式進(jìn)行校驗(yàn)。
本文轉(zhuǎn)自:http://blog.hexccc.com
原文地址:http://blog.hexccc.com/thinkphp-filter-code-vulnerability/
網(wǎng)站性能優(yōu)化:如何進(jìn)行網(wǎng)站性能優(yōu)化,方法是什么
網(wǎng)站安全防護(hù):企業(yè)網(wǎng)站如何防止被攻擊,防御方法是什么
免費(fèi)企業(yè)網(wǎng)絡(luò)入侵檢測(cè)(IDS)工具介紹
服務(wù)器應(yīng)該如何做日常維護(hù),方法是什么
微信開(kāi)發(fā)解決方案:醫(yī)藥原料貿(mào)易中的加密訂單系統(tǒng)如何保護(hù)客戶(hù)采購(gòu)隱私
微信小程序如何重塑會(huì)展活動(dòng)管理?展商名錄與觀眾預(yù)約的智慧化解決方案
微信開(kāi)發(fā)公司:微信積分系統(tǒng)如何助力企業(yè)實(shí)現(xiàn)綠色采購(gòu)轉(zhuǎn)型?
微信開(kāi)發(fā)公司:食品添加劑企業(yè)如何借力企業(yè)微信社群打造行業(yè)認(rèn)證影響力?
企業(yè)微信對(duì)接庫(kù)存系統(tǒng):汽配經(jīng)銷(xiāo)商的區(qū)域代理管理智能化升級(jí)介紹
微信開(kāi)發(fā)賦能飼料原料批發(fā),自動(dòng)化報(bào)價(jià)系統(tǒng)如何破解大宗交易定價(jià)難題?