Thinkphp漏洞是继ECShop代码执行漏洞之后，又一次经典的0day漏洞挖掘利用过程。从漏洞刚被挖掘出来时的试探性攻击，到之后有目的、有针对性地攻击虚拟币类、投资金融类的网站，最后到漏洞曝光后的大规模批量性攻击，成为黑产和僵尸网络的工具，给我们展示了一条完整的0day漏洞生命线。

Thinkphp5漏洞背景

2018年12月10日，ThinkPHP 官方发布《ThinkPHP 5.* 版本安全更新》，修复了一个远程代码执行漏洞。由于 ThinkPHP 框架对控制器名没有进行足够的检测，导致攻击者可能可以实现远程代码执行。

知道创宇404实验室漏洞情报团队第一时间开始漏洞应急，复现了该漏洞，并进行深入分析。经过一系列测试和源码分析，最终确定漏洞影响版本为：

• ThinkPHP 5.0.5-5.0.22

• ThinkPHP 5.1.0-5.1.30

在漏洞曝光后的第一时间，知道创宇404实验室积极防御团队积极排查知道创宇云安全的相关日志，发现该漏洞最早从 2018年9月开始，尚处于 0day 阶段时就已经被用于攻击多个虚拟货币类、金融类网站。

在漏洞披露后的一周时间内，404实验室内部蜜罐项目也多次捕获到利用该漏洞进行攻击的案例，可以看到该漏洞曝光后短短8天就被僵尸网络整合到恶意样本中，并可以通过蠕虫的方式在互联网中传播。

由于该漏洞触发方式简单、危害巨大，知道创宇404实验室在研究漏洞原理后，整理攻击事件，最终发布该漏洞事件报告。