欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

關(guān)于ThinkPHP framework 任意代碼執(zhí)行漏洞預(yù)警

  發(fā)布時(shí)間:2012-04-25 09:40:20   作者:佚名   我要評(píng)論
ThinkPHP是一個(gè)國(guó)內(nèi)使用很廣泛的老牌PHP MVC框架。貌似國(guó)內(nèi)有不少創(chuàng)業(yè)公司或者項(xiàng)目都用了這個(gè)框架。

最近官方發(fā)布了一個(gè)安全補(bǔ)丁,官方表述是:該URL安全漏洞會(huì)造成用戶(hù)在客戶(hù)端偽造URL,執(zhí)行非法代碼。 

可是貌似大多數(shù)開(kāi)發(fā)者和使用者并沒(méi)有注意到此漏洞的危害性,應(yīng)者了了,更不用說(shuō)有多少人去升級(jí)了。隨后我對(duì)其進(jìn)行了分析,發(fā)現(xiàn)此問(wèn)題果然是一個(gè)非常嚴(yán)重的問(wèn)題,只要使用了thinkphp框架,就可以直接執(zhí)行任意php代碼。特此發(fā)帖預(yù)警各位。 

我們來(lái)分析一下官方的補(bǔ)丁: 

/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php 

復(fù)制代碼
代碼如下:

125 - $res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['\1']="\2";', implode($depr,$paths)); 
125 + $res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['\1']='\2';', implode($depr,$paths)); 


這個(gè)代碼是把pathinfo當(dāng)作restful類(lèi)型url進(jìn)行解析的,主要作用是把pathinfo中的數(shù)據(jù)解析并合并到$_GET數(shù)組中。 
然而在用正則解析pathinfo的時(shí)候,主要是這一句: 

復(fù)制代碼
代碼如下:

$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['\1']="\2";', implode($depr,$paths)); 

這里明顯使用了preg_replace的/e參數(shù),這是個(gè)非常危險(xiǎn)的參數(shù),如果用了這個(gè)參數(shù),preg_replace第二個(gè)參數(shù)就會(huì)被當(dāng)做php代碼執(zhí)行,作者用這種方式在第二個(gè)參數(shù)中,利用PHP代碼給數(shù)組動(dòng)態(tài)賦值。 

復(fù)制代碼
代碼如下:

'$var['\1']="\2";' 

而這里又是雙引號(hào),而雙引號(hào)中的php變量語(yǔ)法又是能夠被解析執(zhí)行的。因此,攻擊者只要對(duì)任意一個(gè)使用thinkphp框架編寫(xiě)的應(yīng)用程序,使用如下方式進(jìn)行訪(fǎng)問(wèn),即可執(zhí)行任意PHP代碼: 

復(fù)制代碼
代碼如下:

index.php/module/action/param1/${@print(THINK_VERSION)} 

由于是雙引號(hào)執(zhí)行,這里為了保險(xiǎn)起見(jiàn),不給出更有危害性的代碼,利用這個(gè)還是需要點(diǎn)技巧的。 

總之這個(gè)問(wèn)題非常嚴(yán)重,找了一下,發(fā)現(xiàn)目前沒(méi)有修補(bǔ)漏洞的網(wǎng)站還是很多的。而ThinkPHP框架的特征其實(shí)非常好識(shí)別,有意者直接寫(xiě)個(gè)scanner進(jìn)行掃描也未必不可能。 
為了不造成更大損失,特地發(fā)帖希望引起各位使用thinkphp做開(kāi)發(fā)的同學(xué)關(guān)注。盡早升級(jí)官方的安全補(bǔ)丁 

作者:GaRY

相關(guān)文章

最新評(píng)論