thinkphp5.0漏洞修复

原创

已于 2023-02-16 10:34:11 修改 · 1.6k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#php #前端

于 2022-09-07 08:36:12 首次发布

thinkphp5.0漏洞修复

5.0版本

文件位置
/thinkphp/library/think/App.php
在这里插入图片描述

if (!preg_match('/^[A-Za-z][\w\.]*$/', $controller)) {
   
   
 throw new HttpException(404, 'controller not exists:' . $controller); 
}

漏洞描述
由于ThinkPHP5.0框架对Request类的method处理存在缺陷，导致黑客构造特定的请求，可直接GetWebShell。

漏洞评级
严重

影响版本
ThinkPHP 5.0系列 < 5.0.24

安全版本
ThinkPHP 5.0系列 5.0.24
ThinkPHP 5.1系列 5.1.31

安全建议
升级ThinkPHP至安全版本
修复方法1.打开
\thinkphp\library\think\Request.php
搜索
方法改为：

public function method($method = false)
    {

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

凯鑫BOSS

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

Thinkphp框架漏洞（附修复方法）

C233333235的博客

08-07

1123

ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的，是一个快速、兼容而且简单的轻量级国产PHP开发框架，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache2开源协议发布，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。

Thinkphp5安全漏洞修复方法（5.0,5.1）

weixin_42476734的博客

01-10

6119

安全漏洞更新方法： 1、使用composer或者git直接更新 2、在thinkphp/library/think/文件下找到App.php，如下图查找module方法，找到获取控制器名在这句话下面添加一段代码 if (!preg_match(’/1(\w|.)*$/’, $controller)) { throw new HttpException(404, ‘controller n...

参与评论您还未登录，请先登录后发表或查看评论

thinkphp5远程执行代码漏洞修复补丁.zip

04-17

thinkphp5远程执行代码漏洞修复补丁

ThinkPHP5.0.x远程执行漏洞分析与复现

qq_74148743的博客

05-11

2546

2018年12月10日，ThinkPHPv5系列发布安全更新，修复了一处可导致远程代码执行的严重漏洞。此次漏洞由ThinkPHP v5框架代码问题引起，其覆盖面广，且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多，需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，黑客构造特定的请求，可直接进行远程的代码执行，进而获得服务器权限。

ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)

最新发布

weixin_35753431的博客

08-14

1053

ThinkPHP是一个流行的PHP开发框架，在中国拥有广泛的用户群体，由于其简单易用性、高度可定制化和丰富的功能模块，它深受企业和开发者欢迎。然而，随着框架的普及，其安全性也逐渐成为关注焦点。尽管ThinkPHP在安全方面持续投入，但其开放性和复杂性使得它成为了黑客攻击的潜在目标。尽管上述案例最终以成功防御告终，但公司也认识到了对DDoS攻击防护的忽视。他们总结出以下经验教训：实时监控与自动响应：快速识别并应对攻击至关重要。安全测试与漏洞评估。

eclipse的servlet默认不执行index_ThinkPHP 5.x远程命令执行漏洞复现

weixin_39881802的博客

11-21

173

一、漏洞描述2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。二、漏洞影响版本Thinkphp 5.x-Thinkphp 5.1....

php安全漏洞怎么修复,thinkphp漏洞如何修复

weixin_42138788的博客

03-16

1177

THINKPHP漏洞修复,官方于近日，对现有的thinkphp5.0到5.1所有版本进行了升级，以及补丁更新，这次更新主要是进行了一些漏洞修复，最严重的就是之前存在的SQL注入漏洞，以及远程代码执行查询系统的漏洞都进行了修复，官方本以为没有问题了，但是在实际的安全检测当中发现，还是存在问题，还是可以远程代码进行注入，插入非法字符，提交到服务器后端中去。关于这次发现的oday漏洞，我们来看下是怎么样...

ThinkPHP 5.0远程命令执行漏洞分析与复现

weixin_35771144的博客

02-27

1192

0x00 前言　　ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 0x01 影响范围 ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1...

ThinkPHP5系列远程代码执行漏洞复现（详细）

weixin_53730939的博客

03-20

1万+

ThinkPHP5系列远程代码执行漏洞复现（详细）

Think PHP 5 RCE漏洞复现及排查

dayouzi的博客

08-11

2915

ThinkPHP是一款运用极广的PHP开发框架。其漏洞点是由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。

ThinkPHP远程执行漏洞修复方案探讨

Li91314的博客

07-11

798

通过及时更新框架版本、加强用户输入验证、限制文件包含和动态执行功能、使用安全加固工具以及加强安全意识培训等措施，我们可以有效地修复和防范ThinkPHP远程执行漏洞，提高Web应用的安全性。具体来说，当框架接收到用户提交的请求时，如果没有对用户输入进行严格的验证和过滤，就可能导致恶意代码的执行。这就导致了一个问题，框架中的一些功能设计也可能存在安全隐患，如文件包含、动态执行等，这些功能如果被攻击者利用，也可能导致远程执行漏洞的产生。近年来，ThinkPHP框架中出现的远程执行漏洞成为了开发者们关注的焦点。

ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查

dayouzi的博客

08-11

2179

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装，默认为$_POST[‘_method’]变量，却没有对$_POST[‘_method’]属性进行严格校验，可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。

Thinkphp v5.x 远程代码执行漏洞复现及POC集合

qq_67473072的博客

07-13

1万+

Thinkphp v5.x 远程代码执行漏洞复现及POC集合

Thinkphp框架漏洞---＞5，2024年最新网络安全进阶

2401_83947105的博客

04-14

1979

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。