thinkphp5 getshell漏洞修复的艰辛过程

动态 2
网站在线工具,网站抓取工具
cjl 2019-08-24 14:26:19
回复

我有个项目,是thinkphp5.0做的,本来保证快速开发和使用与速度的原因选择了他,但是,前期一帆风顺,也积攒了不少人气和粉丝。

但是在后期的时候,就开始遭到各种各样的木马攻击,也修复了不少的BUG,但是最终在前几天败在了thinkphp5的注入代码漏洞中,从而getshell权限或者是新增一个php文件或者是串改你的index.php和首页,导致了搜索引擎收录是博彩等违法内容。


在根据官方推出的补救方法,加入了控制器的正则表达式后,重新替换了正常的框架模板后,该危机还是不能解除,在查看日记的过程中看到,在一天24小时,该木马执行者十几分钟就用各种注入方法来攻击我,然后我就学到了各种各样的php入侵修改SEO等等代码,这算是好事一件了。


好了,痛苦的好事过后,回到这个问题上,那时候我那个气啊,各种网上找方法,各种方法常识了个遍,就是没有人的方法能解决我这个问题,让我这个攻击我的人爽的啊,天天更加频繁的光顾我,我气得受不了了,好歹自己也用了挺久的PHP,我就不相信我制服不了他,然后我就开始改框架代码,通过了观察和框架代码的修改和整理,一天的时候,我写出来了一个修复这个问题的代码,然后从那天起,搜索引擎排位开始恢复,通过日记也看到该家伙也不放弃的攻击我,然而都在我这个代码下,我都安然无恙的承受得下来了,官方的代码只是针对框架上的,但是没办法针对我们在线上的问题。


终于在经历了半个月的时间,已经确定我这个代码是完整的修复该漏洞,也开启了thinkphp在我的项目中更安全的一步。


研究不易,有偿给予修复代码,如果有需要的朋友,点击联系我:286142878

回帖
  • LmCjl在线工具,网站在线工具,在线工具
    2019-08-27 18:25:52

    今天也发现,不止这个代码可以修复在thinkphp,还可以修复其他框架上的一些漏洞。

    回复
  • LmCjl在线工具,网站在线工具,在线工具
    cjl (118楼)
    2019-08-31 21:29:49

    每天仍然被攻击,从未间断,但是好在已经扛下来了。而且没出现问题。

    回复
最新评论 Latest comments
大大们,帮看下,网站想改版,有什么好办法.可报价 2614
请问官方有没有官网群呢?有时候想和大大们聊以下都没办法 5329
申请贵站友链。 1821
建议增加微信支付通道 5826
换友联的直接回复 1640
Django框架是当前python语言比较热门的一个框架 6514
【伪原创】自动采集文章兼发布文章,可否加入PBOOTCMS的采集功能 6857
百度站长在添加站点后,提示error":401,"message":"site sid is empty或者推送链接错误 10334
生成sitemap.xml网站地图工具 7984
近期推出的文字合成语音 - 在线文字合成mp3语音文件-在线工具 6448
为什么关键词排名做不上百度首页 6102
python 环境用哪个好 2690
百度站长后台的主动推送中的更新数据接口没有条数? 7547
lmcjl在线工具一直追求用户体验至上 7876
今天优化了链接抓取功能,增加mip网站链接抓取 7719
相关评论 Related comments
JetBrains IDE 远程代码执行和本地文件泄露 0
新浪微博错误代码详解 0
微信错误代码(全局返回码)的说明 0
editor.md 配置参数和使用方法 0
Python2和Python3的区别 0
Python获取数据库表保存为excel并发送到邮箱 0
新搭建的新网站要怎么样才能快速进入百度首页 0
轻松解除网页防复制 0
JetBrains IDE workspace.xml文件泄露 0
黑客十大常用工具介绍 0
thinkphp5 getshell漏洞修复的艰辛过程 2
WebSocket connection to 'wss://域名:7272/' failed: Error in connection establishment: net::ERR_CONNECTION_REFUSED 3
python使用list和tuple 0
Python三大Web框架Django、Flask、Tornado的部署 0
说说redis缓存+workerman通讯+vue.js这方面的感悟 0