thinkphp6 任意文件創建漏洞復現

01 背景

?近日奇安信發布了 Thinkphp 6.0 “任意”文件創建漏洞安全風險通告，對此，DYSRC第一時間對該漏洞進行了分析，并成功復現該漏洞。

漏洞影響范圍：top-think/framework 6.x

02 定位問題

根據任意文件創建以及結合近期的commit歷史，可以推測出 1bbe75019 為此次問題的補丁。可以看到在補丁中限制了Sessionid只能由字母和數字組成，由此看來問題更加明顯。

立即學習“PHP免費學習筆記（深入）”；

03 原理分析

先拋開上面的問題，我們看一下thinkphp是如何存儲session的。

系統定義了接口thinkcontractSessionHandlerInterface

SessionHandlerInterface::write方法在本地化會話數據的時候執行，系統會在每次請求結束的時候自動執行。

再看看thinksessiondriverFile類是怎么實現的。

先通過getFileName根據$sessID生成文件名，再writeFile寫入文件。

跟進getFileName，直接將傳入的$sessID拼接后作為文件名。由于$sessID可控，所以文件名可控。

04 演示

分析到這里，整個漏洞流程基本上已經很清晰了。下面給出本地的演示結果。

php中文網，大量的免費thinkphp入門教程，歡迎在線學習！