ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程代码执行漏洞
漏洞概述:
- ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。借鉴Struts框架的Action对象,同时也使用面向对象的开发结构和MVC模式。1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日发布两个更新,这几次更新都修复了远程代码执行漏洞,对于5.0.x、5.1.x、5.2.x 这几个版本,都无需登入可以进行远程代码执行。
漏洞版本:
- 5.0.x
- 5.1.x
- 5.2.x
漏洞搭建:
- 利用vulhub漏洞平台(简单粗暴,可一键生成漏洞!)进行快速搭建,cd 到thinkphp目录,任意选择一个版本,然后docker-compose up -d
- 5.1.x之后,必须在本地搭建,vulhub未提供。
- 如图所示搭建成功,走起!