ThinkPHP6任意文件操作漏洞分析

宣布时间 2020-01-14

2020年1月10日，ThinkPHP团队宣布一个补丁更新，修复了一处由不宁静的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件，在特定情况下还可以getshell。

具体受影响版本为ThinkPHP6.0.0-6.0.1。

漏洞复现

当地环境接纳ThinkPHP 6.0.1+PHP7.1.20+Apache进行复现。在特定情况下执行测试验证法式即可写入一个webshell，如下图：

东森·(中国区)官方网站

漏洞分析

凭据官方github的commit：https://github.com/top-think/framework/commit/1bbe75019ce6c8e0101a6ef73706217e406439f2。

东森·(中国区)官方网站

因而推测，可能是在存储session时导致的文件写入。然后，跟踪：vendor/topthink/framework/src/think/session/Store.php:254。

东森·(中国区)官方网站

这里调用了一个write函数，跟进一下：vendor/topthink/framework/src/think/session/driver/File.php:210。

东森·(中国区)官方网站

调用writeFile函数，跟入：

东森·(中国区)官方网站

果然是写入文件的操作。

继续反向看一下文件名是否可控，该文件名来自于最开始的getId()得到的$sessionId的值。既然有getId，就会有setId，看一下函数内容：

东森·(中国区)官方网站

当传入的参数$id满足32位的长度时，就将该值设为$this->id。调用setId的地方为：vendor/topthink/framework/src/think/middleware/SessionInit.php:46。

东森·(中国区)官方网站

这里的$cookieName的值是PHPSESSID。

东森·(中国区)官方网站

而$sessionId是cookie中名为PHPSESSID的值，因此是攻击者可控的，从而导致写入的文件名可控。

写入的文件名可控，那么写入的内容是否可控呢？分析发现，写入的内容就是创建session使用的内容。但是session的创建是由实际的后端业务逻辑来决定的，而默认环境下并没有创建session。因此，默认环境下无法做到任意文件写入。

在对该漏洞的深入分析过程中，我们发现该漏洞还可以实现任意文件删除，且文件删除对后端业务逻辑依赖较低。

还是在 vendor/topthink/framework/src/think/session/Store.php:254中：

东森·(中国区)官方网站

通过分析验证，我们发现漏洞（如上图）还能导致任意文件删除。

总结

在目标环境为Windows且开启session的情况下，容易遭受任意文件删除攻击。

在目标环境开启session且写入的session可控的情况下，容易遭受任意文件写入攻击。

建议相关用户及时升级到ThinkPHP6.0.2版本，以免遭受攻击。

东森平台积极防御实验室（ADLab）

ADLab建立于1999年，是中国宁静行业最早建立的攻防技术研究实验室之一，微软MAPP计划核心成员，“黑雀攻击”看法首推者。截止目前，ADLab已通过CVE累计宣布宁静漏洞1000余个，通过 CNVD/CNNVD累计宣布宁静漏洞600余个，连续保持国际网络宁静领域一流水准。实验室研究偏向涵盖操作系统与应用系统宁静研究、移动智能终端宁静研究、物联网智能设备宁静研究、Web宁静研究、工控系统宁静研究、云宁静研究。研究结果应用于产物核心技术研究、国家重点科技项目攻关、专业宁静服务等。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

ThinkPHP6任意文件操作漏洞分析

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线