网站为了实现加速访问会将用戶访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能(漏洞详情见参考资料)
-
如何判斷缓存漏洞存在的可能性
-
如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell
希望可以给予读者一些关于漏洞应用的启发。
1.考虑到这是一个論坛类网站尝试发帖注入缓存。
2.这是最困难的一步猜解缓存中的php文件名。根据框架实现文件名是一个唯一字符串的md5码(此处的md5要用php嘚函数计算,测试发现和网上的一些在线平台计算结果不同)考虑到论坛类网站有大量的帖子,需要用数据库存储而帖子的索引应该為很有可能为id 。
而set()与get()函数以序列化对象的方式无过滤地实现了缓存数据的写入与读出为代码注入缓存提供可能。
通过测试可以发现帖孓中的内容可以直接写入缓存文件。
由于缓存文件是一个php文件可以进行代码注入。在代码前加一个回车使代码行独立于前面的注释行。再在末尾加上注释符号//注释剩余内容。
在处理帖子的代码中读取帖子首先查询cache文件,通过调用thinkphp5框架中的cache接口实现
-
从网页实现入手,读取缓存时的使用的唯一索引可以设置的比较复杂让攻击者无法猜到。如: 3ae282ad69314d68_article_id
-
从服务器的配置入手关闭从外部对于cache文件夹的直接访问。
-
從php的配置入手关闭eval等危险函数。
