php后台提权,基于ThinkPHP的2个CMS后台GetShell利用

最新推荐文章于 2023-03-21 23:22:43 发布
最新推荐文章于 2023-03-21 23:22:43 发布
阅读量757 收藏 1
点赞数
文章标签: php后台提权

* 本文作者:Mochazz,本文属FreeBuf原创奖励计划,未经许可禁止转载文章作者:Mochazz

思路作者:szrzvdny

0x00 前言

ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的安全问题。

0x01 环境搭建

工具

搭建

安装好phpstudy,把jymusic目录下的所有文件及文件夹拷贝到phpstudy的www目录下,浏览器访问http://localhost/install.php,然后配置一下数据库信息即可。

7c151098437ab19c6b6a576e895439ca.png

584879b9ff8ff6c49b6004d23b69e742.png

另外xyhcms安装类似,这里不赘述。

0x02本地后台getshell

Jymusic cms

先看一下管理员登录页面的源代码,看到核心入口为ThinkPHP.php,找到并打开查看

bd93d06e6345eb31b482787211ecb528.png

发现应用缓存目录为Temp文件夹

18c8e74f8c647bedafecafe6409bd00e.png

打开Temp文件夹会发现有很多缓存文件,我们随便打开即可看看,可以发现里面的内容有点像网站配置信息,只不过是序列化后的结果

f9b75e9445a0f891ee88d02689362c61.png

145ecb5f8d39dafde7a0a4b3f3a3d253.png

所以我们在后台的网站设置处插入一句话,就会被ThinkPHP写入缓存文件。而且这个缓存文件的文件名都是固定不变的,这也是导致getshell的原因。

5d1e5bffc201d58a65aca16c136ea07c.png

3194c9ec0d4d2de4ca4c7f8d3e4e25e6.png

c77252ff6292cf943b5d4ff1912a600b.png

成功插入后,我们来执行一下phpinfo()函数看看,菜刀也能成功连接

d7e48a4149e743680249da9c2e9f3e4a.png

731b349a4cabcca6ace022271e8b3260.png

f906f79697426222fcf8680946da7832.png

4b5f3620ac945aaeef770e89d0e683cd.png

xyhcms

xyhcms和Jymusic cms一样使用了ThinkPHP框架,这里不赘述,直接给出缓存文件的位置

ee74fd710c7f26492318edcbd2b9c014.png

d9ce3b4cc31d5a8d92727652e18c355e.png

xyhcms其实还有一个漏洞,在模板管理处可以添加一个php后缀的模板,文件内容也未做任何检测过滤。下面是成功getshell过程

42ff484d5167bd5f82153f18f36d3bc6.png

2affe7cf0e6c1b99df7f3d5d0a2522b6.png

0x03总结

其实现在很多小型网站都是基于ThinkPHP框架开发的,很多都存在这种问题。当你找不到上传点的时候,可以试试这种方法。当然,肯定有人会说,这个要后台登录才能利用,你只是在本地复现,都没实战过,说个锤子。其实,我还真的实战过,只是不方便贴图,使用弱口令做密码还是挺多的,所以锤子未必不可用。还有,有的网站,虽然说你用很简单的方法getshell,但是其实可以研究的东西还有很多,比如你getshell之后发现权限不够,那就可以试试提权,例如用udf提权、使用mysql远程连接结合sqlmap提权等等,虽然有些方法很早就有了,但是并不是每个人都会,而且一些老的思路还有可能启发你新的思考,继续加油吧!

参考文章:

* 本文作者:Mochazz,本文属FreeBuf原创奖励计划,未经许可禁止转载

独爱元歌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php webshell提权_[投稿]Webshell 远程提权
weixin_31955599的博客
03-09 864
虽然现在Ubuntu已经出到14.04 LTS,但是国外的攻击思路一直比我大天朝先进2、3年,这篇文章所演示的漏洞到现在仍是有借鉴意义的。Ubuntu 是基于Debian GNU/Linux,所以大便….咳咳…..Debian系的Linux发行版本或多或少都会有以下的漏洞,所以攻击思路适用与大部分的发行版。话不多说,将接下去就让我们进入紧张刺激的攻防实战吧!———| 关于漏洞 |———Debi...
php提权教程,thinkphp 5.x版本代码执行可直接提权getshell
weixin_39647412的博客
03-10 1484
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。影响范围5.x < 5.1.31, <= 5.0.23漏洞分析Thinkphp v5.0.x补丁地址: htt...
常见的CMS后台getshell姿势总结
记录学习,一起进步
03-21 1260
WordPress,dedecms,aspcms,南方数据企业系统,phpmyadmin日志,pageadmin,无忧企业系统等CMS进行getshell
JYmusic-2.0.0变量覆盖漏洞导致getshell
云雕的博客
06-08 2011
JYmusic-2.0.0变量覆盖漏洞导致getshell目录一、漏洞分析二、 漏洞测试 目录 测试环境:windows + php5.4.45 + apache2(phpStudy集成环境) 使用工具:BurpSuite、 PhpStorm 漏洞描述:变量覆盖,导致可传入系统命令进行执行,通过系统命令可写入shell。 CNVD-ID: CNVD-2019-06251 一、漏洞分析 通过危险函数...
蝉知CMS的GetShell
weixin_50464560的博客
08-17 845
前言 简单记一下在前段时间的 GKCTF X DASCTF 应急挑战杯中遇到的这个有趣的 CMS,题目不难,但是还蛮有趣的。 预期解 进入题目,是一个蝉知 CMS: 访问 admin.php 见到后台后台账号密码为弱⼝令 admin/12345,登陆进入,并在设计处存在可以编辑模板的地方: 但是点击保存时发现存在限制: 请在服务器创建 /var/www/html/system/tmp/fdbe.txt 文件,如果存在该文件,使用编辑软件打开,重新保存一遍。 但...
php提权,一次实战提权
weixin_39996096的博客
03-10 1170
原标题:一次实战提权闲来没事,朋友发给我一个站,需要提权,然后那就试试吧,于是就有了接下来的文章,大牛勿喷https://xxxxxx/……/Abstract.aspx(地址不方便公布)猜测:已经上了一个aspx的大马,看来支持aspx那就可能有mssql环境,可能开放了1433,待会可以利用sa提权等等有关mssql的提权方法: 然后打开访问看看: 熟悉的界面,那我们先来搜集一下基本信息: 从这...
基于ThinkPHP8和Vue3的极简后台管理系统设计源码
最新发布
04-09
极简后台管理系统 - 基于ThinkPHP8和Vue3开发,包含886个文件,如JS、PHP、CSS、JPG、TPL、TTF、GITIGNORE、ICO和MD等。该系统是一个后台管理系统,提供登录退出、权限管理、日志管理、接口文档与调试等基础功能。...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
基于ThinkPHP的轻量级通用后台管理框架设计源码
04-08
勾股CMS后台管理框架:基于ThinkPHP开发,包含862个文件,包括279个JavaScript文件、207个HTML文件、141个PHP类文件、87个CSS样式文件、59个PNG图像文件、12个模板文件、11个GIF图像文件、7个TTF字体文件、7个WOFF...
基于php框架thinkphp开发的一个后台管理系统.zip
07-23
本系统以ThinkPHP作为核心框架,利用MySQL作为数据库,为开发者提供了一个结构清晰、易于维护的后台解决方案。 首先,我们要理解ThinkPHP是什么。ThinkPHP是一款国产的开源PHP框架,它遵循Apache2开源协议发布,...
python3编写ThinkPHP命令执行Getshell的方法
09-19
主要介绍了python3编写ThinkPHP命令执行Getshell的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
基于ThinkPHP后台管理系统设计源码
04-06
本资源提供了一套基于ThinkPHP后台管理系统的设计源码,包含2595个文件,其中包括939个PHP源代码文件,360个数据文件,以及297个JavaScript脚本文件。此外,还包括261个CSS样式文件,115个HTML页面文件,以及84个...
ThinkPHP 2.x 任意代码执行漏洞
weixin_60329395的博客
10-10 1694
ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:depr,paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
ThinkPHP 5.x 远程命令执行漏洞复现(GetShell
热门推荐
北风
12-12 1万+
注:转载请注明出自:https://blog.csdn.net/qq_36711453/article/details/84977739 一、简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1...
Thinkphp框架 5.x远程命令执行漏洞复现
AzVoidSUN的博客
07-06 440
thinkphp 编辑 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。 [1] ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007
getshell
qq_44598397的博客
09-25 747
上传题: 一共三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type 这里是黑名单过滤来判断文件后缀,依次尝试php4,phtml,phtm,phps,php5(包括一些字母改变大小写) 最终发现,php5(PHP5)可以绕过 接下来,请求数据的Content-Type字段改为 image/jpeg 但是一开始没注意到,上面还有一个请求头Content-...
webshell提权
free_xiaochen的博客
09-11 8637
提权 提权前奏 提权:主要是针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升webshell权限以夺得服务器权限 通常所处的权限:  ASP/PHP 匿名权限 ASPX USER权限 JSP 通常是系统权限 收集信息:  内外网 服务器系统和版本位数 服务器的补丁情况 服务器的安装软件情况 服务器的防护软件情况 端口情况 支持脚本情况 。。...
关于cmdshell提权的一些命令
tsvico的博客
04-13 2696
CMD部分提权常用命令 ipconfig         显示本地IP地址 net start telnet           开telnet服务 net use z:127.0.0.1c$     映射对方的C盘  net user            查看所有用户列表 net user xiaoma xiao
基于thinkphp6+layui框架开发的cms系统
12-07
基于thinkphp6和layui框架开发的cms系统,是一款专门用于内容管理的网站系统。该系统具有良好的灵活性和扩展性,可以帮助用户快速构建并管理自己的网站内容。基于thinkphp6框架,系统具有高效的性能和稳定的运行,能够快速响应用户的需求。 在基于layui框架的组件和样式支持下,cms系统拥有优美的界面和友好的用户体验,使用户能够轻松地管理网站的各个方面,包括文章发布、分类管理、标签管理、用户权限控制等。系统采用了响应式设计,能够适配不同的设备,让用户在手机、平板和电脑上都能流畅使用。 cms系统还支持插件扩展和定制化开发,用户可以根据自己的需求添加新的功能和模块,满足特定的业务需求。而且系统还提供了丰富的后台管理功能,包括数据统计、日志记录、用户管理等,让站长能够全面掌控网站的运行情况和用户行为。 总之,基于thinkphp6和layui框架开发的cms系统,具有强大的功能和灵活的定制性,能够帮助用户快速搭建内容丰富、管理便捷的网站,适用于不同类型的个人博客、企业官网、新闻资讯站等网站建设需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值