ThinkOX全版本通杀0day

影响版本:
ThinkOX全版本通杀(onethink和thinkphp框架可能会受影响,具体懒得去做,谁有兴趣自己分析。)
漏洞描述:
通过动态缓存机制,输入非法内容。恶意执行php代码。
修复方案:
临时解决方案,通过强化缓存的文件名规则,让动态缓存文件难以被反向找到。
修复补丁下载地http://pan.baidu.com/s/1gdAFMSz
详细描述:
CnSeuTeam在2014.11.11重新建站,为了区别以前的风格,我们重(bei)新(bi)改(wu)版(nai),我们就使用到了ThinkOX这套基于onethink和thinkphp框架的程序。
为了站点安全考虑,所以很多会员问我们使用到什么程序的时候,我们没有明确的去告知,只是想用更多的时间去了解这个系统,并进行众多bug、漏洞的修复,直到近期完善了所有安全配置,也审计了大部分的代码。(其实我特烦thinkphp的结构,不过摸清楚了倒是感觉挺有意思的。)
在前天的时候,有个会员说用户名长度超过12字符后无法修改个性签名,正好我刚刚起床闲着,所以就去修复了,依稀记得我已经很久没挖洞了,不过为了网站安全,没办法,谁让咱们CnSeuTeam也用这个ThinkOX程序呢。(其实我想说那天我看代码看入迷了,看了一下午。。。)
在发现此框架会写出一个Runtime临时文件夹进行缓存的时候,我突然脑洞大开,虽然不怎么熟悉thinkphp但愣是去查了个遍,然后。。。。就没有然后了。。。(2333333)

问题代码部分:
路径:ThinkPHP\Library\Think\Cache\Driver\File.class.php

明白了吧。。。尼玛脑洞大开呀。。。。
漏洞利用方法:(仅供技术研究,请勿非法使用,由此产生的后果自行负责!)
第一步.注册ThinkOX

第二步.发布微博

第三步.审查元素查看Weibo_ID
第四步.将Weibo_ID转换成16位MD5
第五步.进入拿出菜刀连接http://xxxxxxx/Runtime/Temp/7e565e1bdae3c535dc0a559bcb5c83cd.php 密码:cnseu

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录