没有合适的资源？快使用搜索试试~ 我知道了~

文库首页安全技术网络安全fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1

fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1

需积分: 0 7 下载量 190 浏览量 2022-08-03 11:50:08 上传评论收藏 1.14MB PDF 举报

温馨提示

试读

11页

2、在 linux 下， is_file() 函数判可用于判断符号链接 3、在 linux 下， is_file 函数会受到权限的影响，当前用户权限不足或父目录

资源详情

资源评论

fastadmin(V1.0.0.20200506_beta) 前台

getshell(文件上传解析) 漏洞分析

0x1. 简介

FastAdmin 是一款基于 ThinkPHP 和 Bootstrap 的极速后台开发框架。

补天平台介绍：近日，补天漏洞响应平台监测到互联网上出现 Fastadmin 文件上传漏洞，exp

被公开。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题，可导致文件

上传并解析为可执行文件。目前厂商已发布新版本修复此漏洞，补天漏洞响应平台建议受影响的

客户将框架更新至安全版本。

影响版本：V1.0.0.20180911_beta~V1.0.0.20200506_beta

修复建议：

升级 Fastadmin 版本到 V1.0.0.20200920_beta，详见官网链接：

0x1. 简介 FastAdmin 是一款基于 ThinkPHP 和 Bootstrap 的极速后台开发

框架。补天平台介绍：近日，补天漏洞响应平台监测到互联网上出现

Fastadmin 文件...

“

https://www.fastadmin.net/download.html

0x2. 漏洞详情

利用限制：需要开启会员中心功能，且登录会员中心。

/application/config.php 文件中：

'usercenter' => true,

漏洞分析

/application/index/User.php 文件

第 58-67 行：

public function _empty($name)

{

$data = Hook::listen("user_request_empty", $name);

foreach ($data as $index => $datum) {

$this->view->assign($datum);

}

return $this->view->fetch($name);

}

user_request_empty 为开发者预留的钩子可以忽视不看，主要看 return $this->view-

>fetch($name);

此方法中的 $name 参数可控，并且将 $name 的值传入到了 fecth() 函数中。

fetch() 为 thinkphp 的解析模板函数，其返回模板文件渲染后的内容

fetch() 函数的关键内容如下：

public function fetch($template, $data = [], $config = [])

{

if ('' == pathinfo($template, PATHINFO_EXTENSION)) {

$template = $this->parseTemplate($template);

}

if (!is_file($template)) {

throw new TemplateNotFoundException('template not exists:' . $template, $template);

}

App::$debug && Log::record('[ VIEW ] ' . $template . ' [ ' . var_export(array_keys($data), t

rue) . ' ]', 'info');

$this->template->fetch($template, $data, $config);

}

继续调用栈可以看下其实这个 fetch() 函数调用的是内置模板引擎的 fetch 方法，这个方法实际

上就是将要输出的页面内容赋值给一个变量，为了方便，thinkphp 在对模板渲染的过程中，添

加了 php 标签功能，使得其可以解析 php 代码。

总之一句话，这个漏洞其实就是由于对传入变量过滤不严导致的模板引擎注入漏洞，只要控制了

传入模板的文件，就可以利用模板本身的渲染功能，实现包含漏洞 getshell

另外需要注意的是，当验证传入的模板是否是文件时，使用的 is_file() 函数，这个函数在 Linux

下和 windows 下的判断会有所不同，具体如下：

1、在 linux 下利用 is_file() 来判断类似于 /****/../../../../etc/passwd 文件时，如果 **** 是不存

在的目录，则会返回 false，在 windows 下，这个目录存在与否，均返回 true，如下图所示：

剩余10页未读，继续阅读

评论收藏

内容反馈

fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1

评论0

最新资源

fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1

评论0

最新资源

相关推荐

FastAdmin_Upload:FastAdmin 前台文件上传RCE

记一次tp5.0.24 getshell1

fastadmin-thinkphp5.1:ThinkPHP 5.1.38 LTS的fastadmin

unlogin_linux_v1.0.0.25020_beta.tar.gz

Mali_GPU_Asset_Conditioning_Tool_1.0.0.5844_Beta_Win32

K3_V21.6.14.131_tb_K3_V21.6.14.131tb_V21.6.14.131_K3_V21.6.14.13

DebuggerAide(V20071227_V1.0.1.103_Beta3)

[图片动画]YomComic 在线漫画管理系统 v1.0 Beta_yomcomic_v1.0_beta.zip源码ASP.NE

iASong 收文系统 1.0.0.090306_release.rar

Newifi_mini_xCloudOS_y1_Build20180612_v3.2.1.9700_beta_sign.bin

FTP FlashFXP_3.7.9.1348_Beta_SC破解版

CloudCompare_v2.6.3.beta_bin_x64.7z

MicroKMS_v21.10.08_Beta.rar.rar

DebuggerAide(V20071212_V1.0.1.103_Beta2)

3--[音乐播放器V1.0.Beta].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码

汉印 HM-A300S 用户手册_Rev.1.0.zip

ikuani8xCloudOS_y1_Build20151013_v2.1.0.7900_beta_sign.bin

Task_Scheduler_v1.0_beta.zip_Task Scheduling_beta_crossover_ta

弱口令检测工具V1.0.Beta28.20190715.rar

MakerBot_Bundle_BETA_3.10.1.1746_x64_Install (2).exe

vomic_1.3.1.221118_beta_jg.apk

VM-Pro通用化视觉系统框架V1.6

net framework4.0和4.5开发包（用于visual studio 2022 安装net旧版本）

串口侦听 串口监听 不占用串口 不占用串口的监听

【C#源码】TCP+串口通信的调试工具 （源码+教学视频）

C# 读取西门子S7系列PLC教程及源码 Profinet

用c# 自己封装的Modbus工具类库源码

C#含有ModbusRtu通讯库，通讯示例 硬件设备测试例程

C#源码 上位机 SECS协议，里面包含各种进制转换，用于半导体行业，程序全源码

串口侦听串口监听不占用串口不占用串口的监听

【C#源码】TCP+串口通信的调试工具（源码+教学视频）

C#含有ModbusRtu通讯库，通讯示例硬件设备测试例程

C#源码上位机 SECS协议，里面包含各种进制转换，用于半导体行业，程序全源码