教你从防护角度看Thinkphp历史漏洞

藏色散人

发布时间：2020-05-10 13:51:34

2754人浏览过

来源于FreeBuf.COM

转载

下面由thinkphp框架开发教程栏目给大家介绍从防护角度看thinkphp历史漏洞，希望对需要的朋友有所帮助！

一、前言

19年初，网上公开了2个Thinkphp5的RCE漏洞，漏洞非常好用，导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量，本文主要从流量角度简要分析和利用thinkphp进行攻击的全网扫描和getshell流量痕迹。

二、Thinkphp RCE漏洞和扫描流量

2.1漏洞原理回顾

立即学习“PHP免费学习笔记（深入）”；

2.1.15.0.x版本漏洞

原理在于Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php)，该类可以实现对HTTP请求的一些设置

Thinkphp支持配置“表单伪装变量”，默认情况下该变量值为_method，因此在method()中，可以通过“表单伪装变量”进行变量覆盖实现对该类任意函数的调用，并且$_POST作为函数的参数传入。可以构造请求来实现对Request类属性值的覆盖，例如覆盖filter属性（filter属性保存了用于全局过滤的函数），从而实现代码执行。

2.1.25.1.x-5.2.x版本漏洞

与5.0.x版本漏洞相似，漏洞点都存在于Request(thinkphp/library/think/Request.php)类中，其中：

$method变量是$this->method，其等同于POST的“_method”参数值，可以利用覆盖$filter的属性值（filter属性保存了用于全局过滤的函数），从而实现代码执行。

该漏洞触发时会出现警告级别的异常导致程序终止，此时需要设置忽略异常提示，在public/index.php中配置error_reporting(0)忽略异常继续运行代码，如下图：

2.2Thinkphp漏洞全网扫描

从流量角度来看，利用Thinkphp漏洞就是发一个http包。我们发现某黑客的扫描器是先写一个简单的一句话作为指纹，后续再访问这个文件看是否返回指纹信息，访问成功说明shell已经成功，基本就是发两个http包，扫描器记下成功写入的shell的网站ip和url然后手工用菜刀连接，进行后续操作。

从IPS设备日志和人工验证，攻击者的攻击步骤包含2步：1、全网扫描发送exp，根据指纹识别是否getshell；2、菜刀连接，进行远程控制；

2.2.1全网扫描发送exp

一般扫描日志都是遍历B段或C段，时间也比较密集，某个被记录的扫描器日志片段如下，

具备3个特征：1、目的ip为相同C段或者B段，2、端口比较固定，3扫描时间非常密集

Dora

创建令人惊叹的3D动画网站，无需编写一行代码。

下载

扫描器发送的确认shell已经写入成功的报文，采用扫描器专用的指纹，所以ips是没有这种检测规则的。

2.2.2菜刀连接

在攻击者手工菜刀连接被攻陷的站点时，也会被ips检测到，通过上下文关联溯源到thinkphp漏洞作为攻击者的突破口。挑选几个当时记录的典型案例：

被攻陷的郑州服务器1（122.114.24.216）：

该网站确实为thinkphp5发开，当时webshell木马还在服务器上未被删除。可以通过服务器访问黑客上传的该木马，指纹信息为baidu，扫描器用这个指纹来自动判断getshell成功并记录url。

被攻陷的四川服务器（182.151.214.106）：

这个案例木马虽然被清除，但是当时服务器还是可以连通，服务器也是thinkphp框架，用户名疑似chanpei

设备记录了黑客连接木马并执行网络查询命令时的报文，得到的信息与以上报错信息一致。并且看得出服务器也所处为内网的一台机器，截图看到至少该网络包含192.168.9.0和192.168.56.0两个子网，如下图：

被攻陷的美国服务器（161.129.41.36）：

美国这台服务器上的webshell也被清理掉了，通过设备抓包，发现有黑客使用了相同的webshell木马，即 x.php，怀疑是同一批黑客。

黑客在浏览美国服务器上x.php（webshell）文件内容时，设备记录了x.php的密码为xiao，并且标志位也是baidu。

可以看出利用这两个Thinkphp高危RCE漏洞，当时是扫到了大量的服务器漏洞的。

三、总结

本文结合Thinkphp的历史漏洞原理，分享了发现利用Thinkphp漏洞攻击成功的案例。目前设备每天检测到最多的日志就是weblogic、struts2、thinkphp这类直接getshell的日志或者ssh rdp暴力破解日志。很多攻击者一旦发现最新的exp就装备到自己的扫描器上面全网一阵扫，一天下来可能就是若干个shell。所以出现高危漏洞后建议用户及时打上补丁，配置好安全设备策略，从实际几个案例来看，扫描器的风险一直都在。如果能配置好网站禁止ip直接访问，能在某种程度上缓解一下这种威胁。由于水平有限，欢迎大家指出文中的错误和交流指教

ThinkPHP升级版本怎么操作_ThinkPHP版本升级指南【解答】

ThinkPHP多应用模式下怎么创建新模块_多应用模块创建【教程】

ThinkPHP模板引擎怎么使用_ThinkPHP模板引擎使用说明【技巧】

ThinkPHP性能优化技巧有哪些_ThinkPHP性能优化技巧介绍【解答】

ThinkPHP官网哪里下载历史版本_历史版本获取方式【操作】

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

thinkphp和laravel哪个简单

对于初学者来说，laravel 的入门门槛较低，更易上手，原因包括：1. 更简单的安装和配置；2. 丰富的文档和社区支持；3. 简洁易懂的语法和 api；4. 平缓的学习曲线。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

385

2024.04.10

thinkphp性能怎么样

thinkphp 是一款高性能的 php 框架，具备缓存机制、代码优化、并行处理和数据库优化等优势。官方性能测试显示，它每秒可处理超过 10,000 个请求，实际应用中被广泛用于京东商城、携程网等大型网站和企业系统。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

357

2024.04.10

http500解决方法

http500解决方法有检查服务器日志、检查代码错误、检查服务器配置、检查文件和目录权限、检查资源不足、更新软件版本、重启服务器或寻求专业帮助等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

495

2023.11.09

http请求415错误怎么解决

解决方法：1、检查请求头中的Content-Type；2、检查请求体中的数据格式；3、使用适当的编码格式；4、使用适当的请求方法；5、检查服务器端的支持情况。更多http请求415错误怎么解决的相关内容，可以阅读下面的文章。

450

2023.11.14

HTTP 503错误解决方法

HTTP 503错误表示服务器暂时无法处理请求。想了解更多http错误代码的相关内容，可以阅读本专题下面的文章。

3509

2024.03.12

http与https有哪些区别

http与https的区别：1、协议安全性；2、连接方式；3、证书管理；4、连接状态；5、端口号；6、资源消耗；7、兼容性。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

2904

2024.08.16

Go高并发任务调度与Goroutine池化实践

本专题围绕 Go 语言在高并发任务处理场景中的实践展开，系统讲解 Goroutine 调度模型、Channel 通信机制以及并发控制策略。内容包括任务队列设计、Goroutine 池化管理、资源限制控制以及并发任务的性能优化方法。通过实际案例演示，帮助开发者构建稳定高效的 Go 并发任务处理系统，提高系统在高负载环境下的处理能力与稳定性。

2026.03.10

Kotlin Android模块化架构与组件化开发实践

本专题围绕 Kotlin 在 Android 应用开发中的架构实践展开，重点讲解模块化设计与组件化开发的实现思路。内容包括项目模块拆分策略、公共组件封装、依赖管理优化、路由通信机制以及大型项目的工程化管理方法。通过真实项目案例分析，帮助开发者构建结构清晰、易扩展且维护成本低的 Android 应用架构体系，提升团队协作效率与项目迭代速度。

2026.03.09

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

2026.03.06

热门下载

网站特效

网站源码

网站素材

前端模板