ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量8k 收藏 5
点赞数 1

0×00 前言

ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的安全问题。

0×01 环境搭建

工具

phpstudy

http://www.phpstudy.net/phpstudy/phpStudy20161103.zip

Jymusic cms

http://www.jyuu.cn/topic/t/41

xyhcms

https://pan.baidu.com/s/1qYhTKc8

搭建

安装好phpstudy,把jymusic目录下的所有文件及文件夹拷贝到phpstudy的www目录下,浏览器访问http://localhost/install.php,然后配置一下数据库信息即可。

另外xyhcms安装类似,这里不赘述。

0×02本地后台getshell

Jymusic cms

先看一下管理员登录页面的源代码,看到核心入口为ThinkPHP.php,找到并打开查看

发现应用缓存目录为Temp文件夹

打开Temp文件夹会发现有很多缓存文件,我们随便打开即可看看,可以发现里面的内容有点像网站配置信息,只不过是序列化后的结果

所以我们在后台的网站设置处插入一句话,就会被ThinkPHP写入缓存文件。而且这个缓存文件的文件名都是固定不变的,这也是导致getshell的原因。

成功插入后,我们来执行一下phpinfo()函数看看,菜刀也能成功连接

 

xyhcms

xyhcms和Jymusic cms一样使用了ThinkPHP框架,这里不赘述,直接给出缓存文件的位置

xyhcms其实还有一个漏洞,在模板管理处可以添加一个php后缀的模板,文件内容也未做任何检测过滤。下面是成功getshell过程

 

0×03总结

其实现在很多小型网站都是基于ThinkPHP框架开发的,很多都存在这种问题。当你找不到上传点的时候,可以试试这种方法。当然,肯定有人会说,这个要后台登录才能利用,你只是在本地复现,都没实战过,说个锤子。其实,我还真的实战过,只是不方便贴图,使用弱口令做密码还是挺多的,所以锤子未必不可用。还有,有的网站,虽然说你用很简单的方法getshell,但是其实可以研究的东西还有很多,比如你getshell之后发现权限不够,那就可以试试提权,例如用udf提权、使用mysql远程连接结合sqlmap提权等等,虽然有些方法很早就有了,但是并不是每个人都会,而且一些老的思路还有可能启发你新的思考,继续加油吧!

转自:https://www.freebuf.com/articles/web/148629.html

FLy_鹏程万里
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
python3编写ThinkPHP命令执行Getshell的方法
09-19
主要介绍了python3编写ThinkPHP命令执行Getshell的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ThinkPHP历史漏洞
HAKUNAMATATATTA的博客
12-30 5815
Thinkphp 是一种开源框架。是一个由国人开发的支持windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
最新发布
程序员六七的博客
05-16 490
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkphp远程代码执行exp
07-29
thinkphp的远程代码执行漏洞的exp,版本通用,带检查,上传等功能。
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
ThinkPHP3.2.3 反序列化漏洞复现
D.MIND 的博客
06-08 1227
ThinkPHP/Library/Think/Image/Driver/Imagick.class.php: __destruct() public function __destruct() { empty($this->img) || $this->img->destroy(); } ThinkPHP/Library/Think/Session/Driver/Memcache.class.php destroy() public function destroy($sessI
ThinkPHP3.2.3框架Memcache缓存使用方法实例总结
10-17
主要介绍了ThinkPHP3.2.3框架Memcache缓存使用方法,结合实例形式总结分析看thinkPHP框架下Memcache缓存各种调用方法与配置相关操作技巧,需要的朋友可以参考下
基于thinkphp3.2.3开发的电子商城(包含前后台
06-17
本篇将深入探讨基于ThinkPHP3.2.3开发的电子商城系统,包括其前后台功能实现及主要技术点。 ThinkPHP是一款流行的国产PHP开发框架,以其简洁的MVC设计模式和丰富的扩展性,深受开发者喜爱。3.2.3版本作为ThinkPHP的...
Thinkphp3.2.3通用后台+API接口设计
08-16
1.此项目是基于Thinkphp3.2.3+easyui做的权限管理系统,所有后台管理系统均可基于此项目开发。 2.项目集成php反射自动生成API文档,通过访问http://你的IP或者域名/文件地址/tpcs/index.php/Api/Doc/index.html即可...
基于php的ThinkPhp3.2.3框架开发的微信企业号后台管理系统.zip
07-23
【标题】基于php的ThinkPhp3.2.3框架开发的微信企业号后台管理系统 【内容详解】 这个项目是利用PHP编程语言,基于ThinkPhp3.2.3框架构建的一个微信企业号后台管理系统。ThinkPhp是中国较为流行的一款开源PHP框架...
基于ThinkPHP5.0的各项后台小功能代码实现.zip
06-19
基于ThinkPHP5.0的各项后台小功能代码实现,里面有curl操作教程,关联模型,对接聊天机器人api教程与源码
同城拼车小程序提供数据后台(基于thinkphp3.2)
04-10
一套基于thinkphp3.2开发的供同城拼车小程序提供后台数据接口。
thinkphp3.1.2的通用网站后台
10-28
thinkphp3.1.2的通用网站后台
thinkphp任意代码执行漏洞
cnbird's blog
05-16 9921
http://site.com/index.php/module/action/param1/${@phpinfo()} 直接拿SHELL index.php/module/action/param1/${@eval%28$_POST[c]%29} 密码:c
ThinkPHP 3.2.3 简单后台模块开发(一)常用配置
weixin_34240657的博客
01-14 375
 一、项目分组 下载解压 ThinkPHP 3.2.3,在默认的应用 Application(./Application) 中,包含一个默认的模块 Home(./Application/Home)。 需要在该默认应用中创建一个用于后台管理的 Admin 模块,可以通过在应用入口文件(./index.php)中绑定 Admin 模块来 自动生成 Admin 模块: define('BIND...
我的个人博客总结--后台管理篇(Thinkphp3.2)
GQ_cyan的博客
09-04 2471
博客的框架采用Thinkphp3.2 在这里我建立了两个入口文件;一个是前端的,一个后台,但两个文件均属于一个项目。 就后台而言:主要有博客管理,类别管理,用户管理(形同虚设),登录管理; 使用了五个控制器对整个后台进行梳理: 首先是登录模块: 1,除了简单的用户名和密码的设置,我在这里加入了验证码的验证,当然是用了Thinkphp中的类库 $verify = new \Think
ThinkPHP3.2.3 实现自动登录功能的方法
weixin_38615720的博客
10-15 2143
实现持久登录,即用户在登录时,勾选了"记住我"之后,无论是否关闭浏览器,只要不退出登录,在指定的时间内始终保持登录状态(缺点是在另一台电脑上登录过后,之前那台电脑就不能继续保持登录状态)。 首先,持久登陆使用 cookie 实现,但是 cookie 中不能保存用户密码这样重要的信息,即使加密过。解决方案是在用户登录表中新建3个字段identifier:第二身份标识,token:永久登录标识,ti...
thinkphp3.2.3下载
09-03
要下载thinkphp3.2.3,可以按照以下步骤进行操作: 1. 打开浏览器,进入thinkphp官方网站。 2. 在官方网站的首页或者下载页面上,找到thinkphp3.2.3的下载链接。 3. 点击下载链接,浏览器会开始下载thinkphp3.2.3的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值