6 年前 ThinkPHP 框架漏洞再成黑客手中武器，入侵后带GUI后台控制

网络安全公司 Akamai 于 6 月 5 日发布博文，黑客近期再次利用 2018 年曝光的漏洞，攻击 ThinkPHP 应用程序安装名为 Dama 的持久性后门壳层（web shell）。

ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级 PHP 开发框架，是为了敏捷 WEB 应用开发和简化企业应用开发而诞生的，在国内比较盛行。

IT之家附上本次黑客利用的漏洞如下：

CVE-2018-20062：

2018 年 12 月修复，存在于 NoneCMS 1.3 中，远程攻击者可以通过精心设计的过滤器参数执行任意 PHP 代码。

CVE-2019-9082

影响开源 BMS 1.1.1 中使用的 ThinkPHP 3.2.4 及更早版本，是一个于 2019 年 2 月解决的远程命令执行问题。

在这次攻击活动中，攻击者利用这两个漏洞执行远程代码，影响目标端点上的底层内容管理系统（CMS）。

具体地说，攻击者利用这些漏洞下载了一个名为“public.txt”的文本文件，而这个文件实际上是经过混淆的 Dama 后门壳层，保存为“roeter.php”。

该后门壳层会下载相关攻击脚本，使用密码“admin”进行简单的身份验证步骤，实现远程控制服务器。

设备一旦感染 Dama 后门壳层，攻击者入侵服务器上的文件系统、上传文件和收集系统数据，帮助其提升至 root 权限。

它还可以执行网络端口扫描、访问数据库，以及绕过禁用的 PHP 功能执行 shell 命令。