快捷導(dǎo)航

如何從防護(hù)角度看Thinkphp歷史漏洞

更新時(shí)間：2021年05月31日 09:26:58 作者：八重櫻

19年初，網(wǎng)上公開了2個(gè)Thinkphp5的RCE漏洞，漏洞非常好用，導(dǎo)致有很多攻擊者用掃描器進(jìn)行全網(wǎng)掃描。我們通過ips設(shè)備持續(xù)觀察到大量利用這幾個(gè)漏洞進(jìn)行批量getshell的攻擊流量，本文主要從流量角度簡要分析和利用thinkphp進(jìn)行攻擊的全網(wǎng)掃描和getshell流量痕跡。

Thinkphp RCE漏洞和掃描流量

漏洞原理回顧

5.0.x版本漏洞

原理在于Thinkphp處理請求的關(guān)鍵類為Request(thinkphp/library/think/Request.php)，該類可以實(shí)現(xiàn)對HTTP請求的一些設(shè)置

Thinkphp支持配置“表單偽裝變量”，默認(rèn)情況下該變量值為_method，因此在method()中，可以通過“表單偽裝變量”進(jìn)行變量覆蓋實(shí)現(xiàn)對該類任意函數(shù)的調(diào)用，并且$_POST作為函數(shù)的參數(shù)傳入?？梢詷?gòu)造請求來實(shí)現(xiàn)對Request類屬性值的覆蓋，例如覆蓋filter屬性（filter屬性保存了用于全局過濾的函數(shù)），從而實(shí)現(xiàn)代碼執(zhí)行。

5.1.x-5.2.x版本漏洞

與5.0.x版本漏洞相似，漏洞點(diǎn)都存在于Request(thinkphp/library/think/Request.php)類中，其中：

$method變量是$this->method，其等同于POST的“_method”參數(shù)值，可以利用覆蓋$filter的屬性值（filter屬性保存了用于全局過濾的函數(shù)），從而實(shí)現(xiàn)代碼執(zhí)行。

該漏洞觸發(fā)時(shí)會(huì)出現(xiàn)警告級別的異常導(dǎo)致程序終止，此時(shí)需要設(shè)置忽略異常提示，在public/index.php中配置error_reporting(0)忽略異常繼續(xù)運(yùn)行代碼，如下圖：

Thinkphp漏洞全網(wǎng)掃描

從流量角度來看，利用Thinkphp漏洞就是發(fā)一個(gè)http包。我們發(fā)現(xiàn)某黑客的掃描器是先寫一個(gè)簡單的一句話作為指紋，后續(xù)再訪問這個(gè)文件看是否返回指紋信息，訪問成功說明shell已經(jīng)成功，基本就是發(fā)兩個(gè)http包，掃描器記下成功寫入的shell的網(wǎng)站ip和url然后手工用菜刀連接，進(jìn)行后續(xù)操作。

從IPS設(shè)備日志和人工驗(yàn)證，攻擊者的攻擊步驟包含2步：1、全網(wǎng)掃描發(fā)送exp，根據(jù)指紋識別是否getshell；2、菜刀連接，進(jìn)行遠(yuǎn)程控制；

全網(wǎng)掃描發(fā)送exp

一般掃描日志都是遍歷B段或C段，時(shí)間也比較密集，某個(gè)被記錄的掃描器日志片段如下，

具備3個(gè)特征：1、目的ip為相同C段或者B段，2、端口比較固定，3掃描時(shí)間非常密集

掃描器發(fā)送的確認(rèn)shell已經(jīng)寫入成功的報(bào)文，采用掃描器專用的指紋，所以ips是沒有這種檢測規(guī)則的。

菜刀連接

在攻擊者手工菜刀連接被攻陷的站點(diǎn)時(shí)，也會(huì)被ips檢測到，通過上下文關(guān)聯(lián)溯源到thinkphp漏洞作為攻擊者的突破口。挑選幾個(gè)當(dāng)時(shí)記錄的典型案例：

被攻陷的鄭州服務(wù)器1（122.114.24.216）：

該網(wǎng)站確實(shí)為thinkphp5發(fā)開，當(dāng)時(shí)webshell木馬還在服務(wù)器上未被刪除?？梢酝ㄟ^服務(wù)器訪問黑客上傳的該木馬，指紋信息為baidu，掃描器用這個(gè)指紋來自動(dòng)判斷getshell成功并記錄url。

被攻陷的四川服務(wù)器（182.151.214.106）：

這個(gè)案例木馬雖然被清除，但是當(dāng)時(shí)服務(wù)器還是可以連通，服務(wù)器也是thinkphp框架，用戶名疑似chanpei

設(shè)備記錄了黑客連接木馬并執(zhí)行網(wǎng)絡(luò)查詢命令時(shí)的報(bào)文，得到的信息與以上報(bào)錯(cuò)信息一致。并且看得出服務(wù)器也所處為內(nèi)網(wǎng)的一臺機(jī)器，截圖看到至少該網(wǎng)絡(luò)包含192.168.9.0和192.168.56.0兩個(gè)子網(wǎng)，如下圖：

被攻陷的美國服務(wù)器（161.129.41.36）：

美國這臺服務(wù)器上的webshell也被清理掉了，通過設(shè)備抓包，發(fā)現(xiàn)有黑客使用了相同的webshell木馬，即 x.php，懷疑是同一批黑客。

黑客在瀏覽美國服務(wù)器上x.php（webshell）文件內(nèi)容時(shí)，設(shè)備記錄了x.php的密碼為xiao，并且標(biāo)志位也是baidu。

可以看出利用這兩個(gè)Thinkphp高危RCE漏洞，當(dāng)時(shí)是掃到了大量的服務(wù)器漏洞的。

總結(jié)

本文結(jié)合Thinkphp的歷史漏洞原理，分享了發(fā)現(xiàn)利用Thinkphp漏洞攻擊成功的案例。目前設(shè)備每天檢測到最多的日志就是weblogic、struts2、thinkphp這類直接getshell的日志或者ssh rdp暴力破解日志。很多攻擊者一旦發(fā)現(xiàn)最新的exp就裝備到自己的掃描器上面全網(wǎng)一陣掃，一天下來可能就是若干個(gè)shell。所以出現(xiàn)高危漏洞后建議用戶及時(shí)打上補(bǔ)丁，配置好安全設(shè)備策略，從實(shí)際幾個(gè)案例來看，掃描器的風(fēng)險(xiǎn)一直都在。如果能配置好網(wǎng)站禁止ip直接訪問，能在某種程度上緩解一下這種威脅。

以上就是如何從防護(hù)角度看Thinkphp歷史漏洞的詳細(xì)內(nèi)容，更多關(guān)于從防護(hù)角度看Thinkphp歷史漏洞的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: