0×00 背景

網站為了實現加速訪問，會將使用者訪問過的頁面存入快取來減小資料庫查詢的開銷。而Thinkphp5框架的快取漏洞使得在快取中注入程式碼成為可能。（漏洞詳情見參考資料）

本文將會詳細講解：

1. 如何判斷快取漏洞存在的可能性

2. 如何利用Thinkphp5的框架漏洞結合網站的一些配置實現前臺getshell

希望可以給予讀者一些關於漏洞應用的啟發。

0×01 環境

測試環境

1.某基於Thinkphp5.0.10搭建的論壇類測試網站

2.apache2

3.php5.6及以上版本，相關php元件

4.mysql

工具

1.dirsearch （github上的一個用python編寫的網站路徑掃描工具）

0×02 實現

判斷快取漏洞存在的可能性

1.檢視網頁的cookie，發現存在thinkphp_show_page_trace欄位，確定網頁基於thinkphp框架。 

2.使用 dirsearch 掃描目標網站。python3 dirsearch.py -u site_ip_here -e php發現可以訪問 cache目錄，說明可能存在快取漏洞。 

實施攻擊

1.考慮到這是一個論壇類網站，嘗試發帖注入快取。

2.這是最困難的一步，猜解快取中的php檔名。根據框架實現，檔名是一個唯一字串的md5碼（此處的md5要用php的函式計算，測試發現和網上的一些線上平臺計算結果不同）。考慮到論壇類網站有大量的帖子，需要用資料庫儲存，而帖子的索引應該為很有可能為id 。

再結合url的路徑名，猜測為article_id

echo(md5(“article_52″));

12a51218427a2df68e54e8f4c8b10109 

通過訪問快取成功getshell 

0×03 原理分析：

框架

在thinkphp框架中，/thinkphp/library/think/cache/driver/File.php中定義了快取的實現。其中，getCacheKey($name)函式實現了cache檔案路徑的計算，為獲得快取檔名稱提供了可能。

而set()與get()函式以序列化物件的方式無過濾地實現了快取資料的寫入與讀出，為程式碼注入快取提供可能。

通過測試，可以發現帖子中的內容可以直接寫入快取檔案。

由於快取檔案是一個php檔案，可以進行程式碼注入。在程式碼前加一個回車，使程式碼行獨立於前面的註釋行。再在末尾加上註釋符號//，註釋剩餘內容。

網頁實現

在處理帖子的程式碼中，讀取帖子首先查詢cache檔案，通過呼叫thinkphp5框架中的cache介面實現。

0×04 防禦：

1. 從框架入手，在/thinkphp/library/think/cache/driver/File.php 中的set()函式中對於$value引數進行過濾，去除換行符號。(具體程式碼見參考資料)缺點: 可能會導致快取檔案在展示時文字佈局的改變。

2. 從網頁實現入手，讀取快取時的使用的唯一索引可以設定的比較複雜，讓攻擊者無法猜到。如: 3ae282ad69314d68_article_id

3. 從伺服器的配置入手，關閉從外部對於cache資料夾的直接訪問。

4. 從php的配置入手，關閉eval等危險函式。

0×05 參考資料：