zzijzzij亚洲日本少妇jizjiz,99久久99久久免费精品蜜桃,www.成色av久久成人,18video性欧美19sex,久久综合九色综合欧美亚洲

為用戶創(chuàng)造價(jià)值的開發(fā)公司

始終追求工匠精神,是您靠譜的H5開發(fā)、小程序開發(fā)、微信開發(fā)供應(yīng)商

藍(lán)暢首頁 >> 動(dòng)態(tài)

Thinkphp框架filter參數(shù)漏洞解析

時(shí)間:2019-05-24 00:00:00 | 來源:


   

漏洞介紹

CNNVD編號:CNNVD-201812-489

漏洞介紹鏈接

noneCms github issue

nonecms的作者通過升級 thinkphp 框架的版本把漏洞修復(fù)了

查看 thinkphp/library/think/App.php 這個(gè)文件的修改歷史可以發(fā)現(xiàn)

更新框架前是5.1.0

const VERSION = '5.1.0';

更新框架后是5.1.31

const VERSION = '5.1.31 LTS';

漏洞修復(fù)

漏洞出現(xiàn)在 NoneCMS/thinkphp/library/think/route/dispatch/Url.php 文件中的parseUrl方法里

  1. // 解析模塊

  2. $module=$this->app->config('app_multi_module') ? array_shift($path) : null;

  3. if($this->param['auto_search']){

  4. $controller=$this->autoFindController($module, $path);

  5. }else{

  6. // 解析控制器

  7. $controller=!empty($path) ? array_shift($path) : null;

  8. }

  10. // 解析操作

  11. $action=!empty($path) ? array_shift($path) : null;

  13. // 解析額外參數(shù)

  14. if($path){

  15. if($this->app['config']->get('url_param_type')){

  16. $var+=$path;

  17. }else{

  18. preg_replace_callback('/(w+)|([^|]+)/', function($match)use(&$var){

  19. $var[$match[1]]=strip_tags($match[2]);

  20. }, implode('|', $path));

  21. }

  22. }

為了修復(fù)漏洞,thinkphp官方添加了新的代碼

  1. if($this->param['auto_search']){

  2. $controller=$this->autoFindController($module, $path);

  3. }else{

  4. // 解析控制器

  5. $controller=!empty($path) ? array_shift($path) : null;

  6. }

  8. /**** 加入了這段代碼 ****

  10.        if ($controller && !preg_match('/^[A-Za-z](w|.)*$/', $controller)) {

  11.            throw new HttpException(404, 'controller not exists:' . $controller);

  12.        }

  14.        **** 加入了這段代碼 ****/

  16. // 解析操作

  17. $action=!empty($path) ? array_shift($path) : null;

具體修改歷史可以在以下鏈接找到

Url.php 修改歷史

概括地說,就是把library/think/route/dispatch/Module.php 的代碼移動(dòng)到 library/think/route/dispatch/Url.php

$controller變量的校驗(yàn)代碼經(jīng)過多次改進(jìn)之后,變成下面這個(gè)樣子

  1. if($controller&&!preg_match('/^[A-Za-z][w|.]*$/', $controller)){

  2. thrownewHttpException(404, 'controller not exists:' . $controller);

  3. }

[A-Za-z][w|.]* 這個(gè)正則表達(dá)式的含義是 $controller 的第一個(gè)字符是字母A-Za-z。 [w|.] 匹配 a-zA-Z0-9_ 和 .。 例如可以匹配 a.b.abc123.., 所以嚴(yán)格來說, 這個(gè)正則表達(dá)式不是特別準(zhǔn)確

漏洞運(yùn)行

如果上面這段 $controller 變量的校驗(yàn)代碼去掉并訪問下面類似的鏈接,就會(huì)復(fù)現(xiàn)之前的漏洞。

   http://xxx.com/NoneCms/public/?s=index/thinkRequest/input&filter=phpinfo&data=1

這時(shí)候變量 $controller 等于 thinkRequest

當(dāng)執(zhí)行到文件 NoneCMS/thinkphp/library/think/Request.php 中的代碼的時(shí)候, $filter = "phpinfo", $value = 1

  1. privatefunctionfilterValue(&$value, $key, $filters)

  2. {

  3. $default=array_pop($filters);

  5. foreach($filtersas$filter){

  6. if(is_callable($filter)){

  7. // 調(diào)用函數(shù)或者方法過濾

  8. $value=call_user_func($filter, $value);

等于執(zhí)行了以下代碼,這樣php運(yùn)行環(huán)境的敏感信息就泄露了。適當(dāng)構(gòu)造URL參數(shù)就可以實(shí)現(xiàn)更多攻擊和破解操作。

  1. $filter="phpinfo";

  2. $value=1;

  3. call_user_func($filter, $value);

總結(jié)

  1. 調(diào)用call_user_func函數(shù)時(shí),要進(jìn)行參數(shù)校驗(yàn)。

  2. 對于 HTTP GET 請求里的參數(shù)盡可能使用嚴(yán)格的正則表達(dá)式進(jìn)行校驗(yàn)。


本文轉(zhuǎn)自:http://blog.hexccc.com

原文地址:http://blog.hexccc.com/thinkphp-filter-code-vulnerability/


本文地址:
更多內(nèi)容推薦:
專欄最新閱讀:
更多文章閱讀請至:技術(shù)專欄
Tips: 為您提供 微信開發(fā)、H5開發(fā)微信小程序開發(fā)、微信定制開發(fā)、網(wǎng)站開發(fā)、小程序商城開發(fā)、SEO網(wǎng)站優(yōu)化視頻后期制作等定制化開發(fā)服務(wù)