怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交

  1. <s id="x54xr"><object id="x54xr"></object></s>
    <span id="x54xr"></span>
  2. <s id="x54xr"><object id="x54xr"><blockquote id="x54xr"></blockquote></object></s>
    1. <em id="x54xr"></em>
    2. ThinkPHP 5.x 遠程代碼執行安全預警通告
      2018-12-17
      來源:未知
      點擊數: 6230          作者:未知

      • ThinkPHP 5.x 遠程代碼執行安全預警通告




        2018 年 12 月 17日


        目錄

        1章 安全通告 1

        2章 文檔信息 2

        3章 漏洞信息 3

        3.1 漏洞描述 3

        3.2 風險等級 3

        4章 影響范圍 4

        5章 處置建議 5

        6章 技術分析 6

        7章 參考資料 11 


        1章 安全通告


        2018 12 9 日,ThinkPHP 官方發布針對 5.x 版本的重要更新,其中涉

        及一個安全更新,該更新修復了一個可能造成 Getshell 的漏洞,受影響版本包括 5.0、5.1 版本,官方推薦盡快更新到最新版本。

        2章 文檔信息

         

        文檔名稱 

        ThinkPHP 5.x 遠程代碼執行安全預警通告 

        關鍵字 

        ThinkPHP

        發布日期 

        2018 12 11  





        3章 漏洞信息


        3.1 漏洞描述

        2018 12 9 ThinkPHP 官方發布針對 5.x 版本的重要更新,其中涉及一個安全更新,該更新修復了由于框架對于控制器名沒有做到足夠的檢測,會

        導致在使用 Pathinfo 訪問模式的情況下,造成可能的 GetShell,受影響版本包括

        5.0、5.1 版本,官方推薦盡快更新到最新版本。 

         

        3.2 風險等級

        風險評級為高危 

        預警等級:藍色預警(一般事件)

        4章 影響范圍


        ThinkPHP 5.1.x ~ 5.1.31

        ThinkPHP 5.0.x ~ 5.0.23 

        5章 處置建議


        官方已于 12 11 日發布更新補丁 

        1. 更新 ThinkPHP 5.0.X  ThinkPHP 5.0.23 http://www.thinkphp.cn/down/1278.html 



        6章 技術分析


        由于 ThinkPHP 各個版本分支代碼區別較大,所以本文針對 ThinkPHP 5.0.20  進行分析 

         

        ThinkPHP 有四種訪問模式,分別是普通模式、Pathinfo、rewrite、兼容模式,ThinkPHP 5.0.20 在默認情況下是使用混合模式的 


        該方式下,只需要對需要定義路由規則的訪問地址定義路由規則,其它的仍然按照第一種普通模式的 PATH_INFO 模式訪問 URL。并且默認不強制使用路由。 

        App.php run 方法初始化后,開始進行路由解析




        這里的 routeCheck 方法是路由解析的入口,跟入


        我們發現路由解析調用了 path 方法,跟入 path 方法。 



        path 方法我們看到調用了 pathinfo 方法,跟入



        可以看出 pathinfo 方法使用 Config::get 去獲取 pathinfo 信息,而這個信息默認為



        這樣就形成了一個調用過程  index.php?s=index/\namespace\class/metho d

        這將會實例化 namespace\class 并執行 method 




        跟入 exec 方法




        執行的時候調用了 invokeMethod 方法和 invokeFunction,跟進



        最終執行代碼 



        7章 參考資料 

         

        [1] https://blog.thinkphp.cn/869075 

        [2] https://cert.#/warning/detail?id=09c85b4e91623c92fc4e21d6cd9b13

        32&from=timeline&isappinstalled=0 




      熱門評論
      • 暫無信息

      驗證碼: 驗證碼,看不清楚?請點擊刷新驗證碼

      地址:廣東省惠州市惠城區東平半島惠州大道20號賽格大廈1608號

      電話:0752-2072178  傳真:0752-2072168-0  郵箱:gdoudi@ouditech.com廣東歐迪科技有限公司 版權所有

      Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

      粵ICP備16018732號-1

      怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交