记一下网站被攻击经历 -

首页 > 博客列表 > 记一下网站被攻击经历

博主信息

博文 1

粉丝 0

访问量 453

专题推荐

更多>

最新下载

更多>

网站特效

网站源码

网站素材

前端模板

记一下网站被攻击经历

kekejiang

原创

453人浏览过

半夜三更，微信语音响了，朋友说她网站被黑了。

我登进去一看，什么都没有了，第一时间想到就是数据库出问题了

这个是什么意思?

Can’t connect to local MySql server through socket ‘/tmp/mysql.sock’

服务都停了？？？

经过重启mysql服务后，网站完美运行。

仔细检查网站代码，可能是thinkphp5渗透漏洞导致，并修改了

文件路径为：library/think/Request.php ,在修复前的文件526行中，当存在$_POST[‘_method’]变量是将会执行 $this->{$this->method}($_POST)，当$_POST[‘_method’]为__construct时及等价于调用$this->_construct($_POST)_construct函数实现如下：

在该函数中，当传入的参数中的key为该Requests属性，将value赋值给该属性，由于key可控制，可以到达属性覆盖的效果。

漏洞复现
通过git 可以快速搭建环境

git clone https://github.com/top-think/think
git checkout v5.0.23
cd think
git clone https://github.com/top-think/framework thinkphp
cd thinkphp
git checkout v5.0.23
通过覆盖filter属性即可达到调用任意函数的效果。

5.0.23且设置了app_debug=true复现截图如下：

Payload如下

_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami
在早期5.0的版本过滤器的调用有差别payload也会不同

修复方案
1.升级到5.0.24版本

2.或通过修改以下代码来缓解漏洞：

编辑 library/think/Request.php 文件，查找:

$this->method = strtoupper($_POST[Config::get('var_method')]); $this->{$this->method}($_POST);

修改为如下

$method = strtoupper($_POST[Config::get('var_method')]); if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST); } else { $this->method = 'POST'; } unset($_POST[Config::get('var_method')]);

至于mysql为什么会停止服务，还是很迷，欢迎讨论

中高级PHP开发工程师(熟悉thinkphp框架)

本博文版权归博主所有，转载请注明地址！如有侵权、违法，请联系admin@php.cn举报处理！

全部评论文明上网理性发言，请遵守新闻评论服务协议

0条评论

作者最新博文

记一下网站被攻击经历

2021-08-02 14:41:25