ThinkPHP5远程命令执行漏洞

最新推荐文章于 2025-09-14 10:02:58 发布
原创 最新推荐文章于 2025-09-14 10:02:58 发布 · 1.1w 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#远程代码执行 #thinkphp

本文深入分析了ThinkPHP5框架中的远程命令执行漏洞,详细介绍了漏洞产生的原因、影响范围及如何利用该漏洞获取服务器权限。通过代码审计,揭示了框架对控制器名过滤不严导致的安全风险。

0x01 ThinkPHP简介

ThinkPHP是一个基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布。从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,注重开发体验和易用性,为web应用开发提供了强有力的支持。

0x02 漏洞简介

(1)漏洞名称

ThinkPHP5远程命令执行

(2)漏洞描述

由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造指定的请求,可以直接getshell。

(3)影响范围

  • ThinkPHP 5.0系列 <5.0.23
  • ThinkPHP 5.1系列< 5.1.31
  • 基于ThinkPHP5二次开发的CMS:如AdminLTE后台管理系统、Thinkcmf、ThinkSNS等。

0x03 测试环境

  • centos 7.5
  • nginx 1.14.0
  • php 7.2.10
  • thinkphp5.1beta

0x04 环境部署

查看服务开启状态
在这里插入图片描述
将thinkPHP5.1源码K拷贝到nginx目录/usr/local/nginx/html
在这里插入图片描述
赋予权限chmod -R 777 thinkphp5.1/
在这里插入图片描述
检测是否部署成功
url:http://192.168.162.128/thinkphp5.1/public/index.php
在这里插入图片描述

0x05 漏洞验证

payload:http://192.168.162.128/thinkphp5.1/public/index.php?s=index/\think\Request/input&filter=phpinfo&data=1
在这里插入图片描述

0x06 漏洞产生原因

1. 概述

该漏洞出现的原因在于ThinkPHP5框架底层对控制器名过滤不严,从而让攻击者可以通过url调用到ThinkPHP框架内部的敏感函数,进而导致getshell漏洞。

2. 代码审计

由结果推原因
thinkphp5.1\public\index.php,17行,请求start.php
在这里插入图片描述
‪thinkphp5.1\thinkphp\start.php,21行,run()函数
在这里插入图片描述
thinkphp5.1\thinkphp\library\think\App.php,280行,run()函数,进行URL路由检测
在这里插入图片描述
thinkphp5.1\thinkphp\library\think\App.php,371行,path()函数
在这里插入图片描述
thinkphp5.1\thinkphp\library\think\Request.php
path()函数:获取当前请求URL的pathinfo信息(不含URL后缀)并返回
在这里插入图片描述
pathinfo()函数:获取当前请求URL的pathinfo信息(含URL后缀)并返回
从配置文件中获取var_pathinfo的值
在这里插入图片描述
配置文件thinkphp5.1\config\app.phpvar_pathinfo的值为s
在这里插入图片描述

注意这里的$_GET[$this->config->get('var_pathinfo')],当请求报文包含 $_GET['s'],就取其值作为pathinfo,并返回pathinfo给调用函数,来传递路由信息。而$_GET['s']用户可控的
在这里插入图片描述
上面将用户可控的pathinfo返回给调用函数path(),再跟进函数path()
pathinfo传递给$this->path之后返回给调用函数routeCheck()
在这里插入图片描述

再跟进routeCheck()函数,得到返回值并赋值给$path,再调用check($path, $depr, $must)函数,
在这里插入图片描述
跟进check($path, $depr, $must)函数,$path作为参数之一
thinkphp5.1\thinkphp\library\think\Route.php,744行,
check($path, $depr, $must)函数:检测URL路由,传递进来的参数$url是可控的
在这里插入图片描述
跟踪可控变量$url
首先经过str_replace函数:将url中的/替换为|
调用check函数,url作为参数之一
在这里插入图片描述
又调用check函数,检查路由;
之后创建UrlDispatch实例,$url作为参数之一传递给UrlDispatch的构造函数
在这里插入图片描述
跟进UrlDispatch的构造函数,thinkphp5.1\thinkphp\library\think\route\Dispatch.php,29行,将值传递给this->action,之后调用抽象run()函数
在这里插入图片描述
\thinkphp5.1beta\thinkphp\library\think\route\dispatch\Module.php,19行,类Module继承了抽象类Dispatch,实现了函数run()
在这里插入图片描述

$this->action的值传递给$result
获取控制器名
在这里插入图片描述
获取操作名
在这里插入图片描述
实例化控制器
在这里插入图片描述
跟进实例化函数,‪thinkphp5.1beta\thinkphp\library\think\App.php,461行,查看实例化过程
可以看到,如果name中包含\,就将name的值赋值给class,之后返回,以此这里控制器的实例化是用户可控的,
在这里插入图片描述
之后便是执行实例化后的函数,然后返回给浏览器。

0x07 参考文章

  1. https://bbs.ichunqiu.com/thread-48967-1-1.html
  2. https://paper.seebug.org/770/
bootplus管理系统 file/download 任意文件下载漏洞
shelter1234567的博客
02-14 298
bootplus管理系统 file/download 任意文件下载漏洞。bootplus是基于SpringBoot + Shiro + MyBatisPlus的,拥有接口管理,权限管理,监控组件等功能的一体化权限管理框架。该项目中的file/download接口存在任意文件下载漏洞, 攻击者可以通过该漏洞下载查看目标系统的任意文件。
SpringSecurity-1
ginger_mr的博客
12-20 413
文章目录案例介绍1.案例效果图1.启动项目进入首页2.系统管理界面3.基础数据界面4.项目最终目录结构2.建表语句3.页面部分所用技术简单说明1.adminlTE介绍2. adminlTE使用4.后台部分所用技术简单说明初识权限管理1.权限管理概念2.完成权限管理需要三个对象初识Spring Security1. Spring Security概念2. Spring Security简单入门1.创建web工程并导入jar包2.配置web.xml3.配置spring-security.xml4.将spring
深入浅出ThinkPHP5框架:模板开发与实践
最新发布
weixin_33419305的博客
09-14 941
ThinkPHP5是一款基于PHP语言的轻量级MVC开发框架,凭借其清晰的架构设计、丰富的内置功能和友好的开发者体验,广泛应用于中小型Web项目开发中。它不仅支持传统的MVC开发模式,还集成了现代化的开发特性,如Composer依赖管理、命名空间、自动加载机制等,极大提升了开发效率和代码可维护性。本章将从框架的起源与发展历程入手,分析其核心特性和适用场景,并重点讲解如何在本地环境中搭建基于ThinkPHP5的开发环境。
PhpAdmin-getshell
A345545108的博客
04-30 1117
mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,以原始的状态来显示,如果将general_log开关打开,general_log_file指定一个php文件,则查询的操作将会全部写入到general_log_file指定的文件,可以通过访问general_log_file指定的文件来获取webshell。路径:C:\phpstudy_pro\Extensions\MySQL5.7.26\。value可也已设置为其他路径。
ThinkPHP 5.0 * 远程代码执行漏洞分析
热门推荐
a1b2c3是弱口令
01-11 1万+
ThinkPHP 5.0 * 远程代码执行全版本通杀 本文主要以官网下载的5.0.23 完整版(thinkphp_5.0.23_with_extend.zip)为例分析。 Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php) 该类可以实现对HTTP请求的一些设置。 其中成员函数method用来获取当前请求类型,其定义如下: ...
ThinkPHP5漏洞分析之代码执行
duoba_an的博客
08-14 1608
本次漏洞存在于的缓存类中。该类会将缓存数据通过序列化的方式,直接存储在文件中,攻击者通过精心构造的,即可将写入缓存文件。缓存文件的名字和目录均可预测出来,一旦缓存目录可访问或结合任意文件包含漏洞,即可触发。漏洞影响版本:。
CTF——Thinkphp5远程命令执行漏洞利用
qq_45521281的博客
05-03 8054
[BJDCTF 2nd]old-hack(5.0.23) 进入之后: 打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5远程命令执行漏洞Thinkphp5远程命令执行漏洞 漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_meth...
ThinkPHP5.0.21远程命令执行漏洞
ANYOUZHEN的博客
06-03 2620
漏洞出现的背景:从网上下载源码从网上搜索thinkphp5.0.21漏洞,发现存在远程命令执行漏洞ThinkPHP 5.0
thinkphp5远程执行代码漏洞修复补丁.zip
04-17
标题中的“thinkphp5远程执行代码漏洞修复补丁”指的是ThinkPHP5框架存在一个严重的安全问题,即远程代码执行漏洞(通常称为RCE)。在ThinkPHP5中,这个漏洞允许攻击者通过精心构造的HTTP请求,执行任意系统命令,...
thinkphp5漏洞验证
04-16
thinkphp漏洞验证文档,此文档仅用于漏洞验证等白帽子行为,请勿用于网络攻击等非白帽子行为
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 1万+
ThinkPHP5系列远程代码执行漏洞复现(详细)
thinkphp5框架漏洞
m0_74196038的博客
03-07 1861
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha特殊url编码之后的POC。
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7734
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
vulhub中ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞复现
yougexiaojiuguan的博客
03-06 404
漏洞复现的记录
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7545
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.155.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...
weixin_39994438的博客
11-21 478
一 、前言ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。在ThinkPHP5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。本期安仔课堂,ISEC实验室的黄老师将为大家介绍Think...
ThinkPHP代码执行漏洞
Massimo__JAVA的博客
07-01 2761
特征:被检测系统报错页面出现“十年磨一剑-为API开发设计的高性能框架”,则判定该系统使用ThinkPHP5开发。
ThinkPHP5漏洞利用工具:一键获取Shell
资源摘要信息:"本资源是关于ThinkPHP5代码执行漏洞利用工具的详细分析。ThinkPHP是一个在中国广泛使用且非常流行的PHP框架,而其版本5中的一个严重的安全漏洞使得攻击者可以在网站服务器上执行任意代码,这个漏洞被...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值