Thinkphp 5.0.24变量覆盖漏洞导致RCE分析

最新推荐文章于 2024-06-23 19:07:57 发布
最新推荐文章于 2024-06-23 19:07:57 发布
阅读量1k 收藏
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: android 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhegi_seg/article/details/126080274
版权

大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。

0. 大致流程

经过入口文件进入run函数

首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取s=captcha的调度信息并返回给$dispatch

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Td04jYMC-1648648634252)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330210627549.png)]

再到139行进入exec函数并将$dispatch作为参数带入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BulklkCS-1648648634253)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330212548714.png)]

跟进后根据$dispatch的type进入到case ‘method’,从而调用requests的param函数,进而造成了rce漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gd5cDwZP-1648648634253)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330212730853.png)]

1.环境搭建

这里用的环境是thinkphp5.0.20+php5.6.27+apache+phpstorm

POC:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fq1IdDPU-1648648634253)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330191546501.png)]

复现成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ThpHpF6m-1648648634254)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330213551329.png)]

1.1 POC参数解析

method=get 因为captcha的路由规则是get方式下的,所以我们得让method为get,才能获取到captcha的路由

s=captcha 因为在进入exec函数后我们要switch到method中执行param函数,而这个captcha的路由刚好对应类型为method,所以我们选择captcha

filter[]=system 覆盖变量

get[]=whoami 覆盖变量

_method=__construct 为了能够进入construct,从而覆盖变量

2.漏洞分析

这是一个变量覆盖漏洞导致的rce,我们首先来说下变量覆盖漏洞

2.1 变量覆盖漏洞

漏洞触发点在thinkphp/library/think/Request.php的509行:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HO0XepxW-1648648634254)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330191944892.png)]

这里509行的 t h i s − > m e t h o d 我们可控, ∗ ∗ 该值就来自与上一行的 this->method我们可控,**该值就来自与上一行的 this>method我们可控,该值就来自与上一行的_POST[Config::get(‘var_method’)],其中Config::get(‘var_method’)的值是_method**

我们post传入_method为__construct,就会调用request对象的构造函数,参数为post内容

跟进__construct,可以看到他将传入的参数依次赋值给相应的属性,这就造成了变量覆盖漏洞,我们可以随便给requests对象的属性赋值,这为后面的rce打下基础。从poc也能看出来,为了能够rce,这里我们需要修改的属性值有filter,get,method,_method

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PZWgoq1B-1648648634254)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330193019724.png)]

2.2 远程代码执行

RCE的触发点在thinkphp/library/think/Request.php的param函数:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ezS6Q8Pe-1648648634254)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330193750477.png)]

第一个if是获取post的提交内容并赋值给$vars

然后再整合一下赋值给requests对象的param属性

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Bg9P8xt-1648648634255)(C:Users91136AppDataRoamingTypora ypora-user-imagesimage-20220330194725243.png)]

最后调用该类下的input方法,跟进input方法,$data的值为上图红框

public function input($data = [], $name = '', $default =
最低0.47元/天 解锁文章
bhegi_seg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7256
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
记一次tp5.0.24 getshell1
08-03
记一次tp5.0.24 getshell1
ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
追梦猪的博客
02-20 1353
漏洞描述由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。漏洞评级严重影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本T...
Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-23 1102
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
Thinkphp 5.0.24反序列化漏洞导致RCE分析
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop链往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
thinkphp5.0.24反序列化漏洞分析
热门推荐
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 写一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ThinkPHP 5.0.24 核心版
11-05
ThinkPHP 5.0.24核心版详解与应用》 ThinkPHP 5.0.24是一款基于PHP语言的轻量级框架,它的核心设计理念是“简洁实用”。自诞生以来,ThinkPHP就以其易用性和高效性深受开发者喜爱,尤其在敏捷Web应用和企业级应用...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
ThinkPHP v5.0.24 完整版
10-22
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表现。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少
thinkPhp5.0.24框架
02-23
thinkPhp5.0.24框架源码分享
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析
11-21 4543
ThinkPHP5.0.24_反序列化漏洞在Linux下的写马分析 ThinkPHP5.0.24 漏洞代码<?php namespace app\index\controller; class Index { public function test01(){ $code = $_POST['code']; unserialize(base64_decode($code)); } } payload/index.php/index/index/t
ThinkPHP5.0.24 Request.php 远程代码执行高危漏洞 修复
qq_40880022的博客
04-10 1041
修改文件 thinkphp/library/think/Request.php。ThinkPHP 5.0系列 < 5.0.24ThinkPHP 5.0系列 5.0.24ThinkPHP 5.1系列 5.1.31。
thinkphp v5.0.24 密码爆破_ThinkPHP < 5.0.24 远程代码执行高危漏洞的修复方案
weixin_39646970的博客
11-25 3797
点击蓝字关注我们!每天获取最新的编程小知识!源 /php中文网 源 /www.php.cn本篇文章主要给大家介绍ThinkPHP<5.0.24远程代码执行高危漏洞的修复方案,希望对需要的朋友有所帮助!漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。漏洞评级严重...
thinkphp5.0.24文件包含漏洞
06-08
ThinkPHP 5.0.24版本存在一个文件包含漏洞,也称为“ThinkPHP5.0.24远程代码执行(RCE)漏洞”。这个漏洞源于框架中的一个设计缺陷,它允许恶意用户利用特定条件下的参数控制来执行任意文件包含操作,从而可能导致攻击者能够获取敏感信息或执行未经授权的操作。 漏洞细节: - 漏洞存在于`ThinkPHP/Library/Think/Loader.php`文件的`import`方法中,当处理动态导入路径时,没有正确验证和过滤输入。 - 攻击者可以通过构造恶意的`import`调用,如`think/Loader::import('..path/to/file');`,利用这个漏洞来包含和执行他们选择的任意文件。 影响范围和修复: - 这个漏洞可能影响到使用ThinkPHP 5.0.24版本的网站,特别是那些在用户输入未经充分验证的情况下调用`import`方法的应用。 - ThinkPHP团队已经发布了安全补丁,修复了这个问题,用户应该尽快更新到最新版本,或者按照官方文档的指导进行漏洞修复。 相关问题: 1. 怎样避免ThinkPHP应用受到此漏洞的影响? 2. 如何检查我的ThinkPHP项目是否受到了该漏洞影响? 3. 安装了补丁后,还需要做哪些额外的安全措施?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值