thinkphp自定义url_渗透记实|ThinkPhp绕过限制GetShell

最新推荐文章于 2024-05-10 20:58:45 发布
最新推荐文章于 2024-05-10 20:58:45 发布
阅读量977 收藏 1
点赞数
文章标签: thinkphp自定义url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39623671/article/details/111360633
版权

0x01 前言

项目里遇到一个站,用的是ThinkPHP V5.0.*框架,且开启了debug模式,本以为一发payload的就能解决的事情,没想到拿下的过程还得小绕一下...

0x02 踩坑

  1. 尝试命令执行,system被限制了

a31c9989917a0ee3cd0012e624c0e4b7.png

  1. 尝试包含日志文件,open_basedir限制了

131cda19b32bb7211bc871972ecdcabe.png

  1. 这里有个思路,可以去包含runtime下的日志文件,但是thinkphp的日志文件比较大,而且有时候会有很多奇怪的问题阻断代码执行,暂且作为备选方案

c950dda369088c0a266f46dae0b35f69.png

  1. 尝试通过thinkphp本身Library中设置Session的方法把脚本写入tmp目录里的Session文件,然后进行包含

_method=__construct&filter[]=think\Session::set&method=get&server[REQUEST_METHOD]= phpinfo();?>

但是。。。

1ae1253180a0b6e147d4a7fbf441f998.png

0x03 GetShell

俗话说,三个臭皮匠顶一个诸葛亮,求助师傅们后,给出了解决的办法

  1. Noel 师傅和HTF师傅的解决方法及分析:

c6d56a1af41535a8fbbc08c1fba7ee18.png

Request.php的filtervalue函数下存在call_user_func,根据Payload,跟踪下流程

首先会进入App.php的Run方法

public static function run(Request $request = null){      
最低0.47元/天 解锁文章
weixin_39623671
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp3.1.3 getshell_ThinkPHP3由注入导致的getshell
weixin_39585035的博客
11-21 2085
起因搞一个thinkphp3.1.3开发的贷款诈骗站。大佬通过xss钓鱼,让管理员下载免杀的木马上线,然后拿到了源码。审计源码发现前台存在因为$_REQUEST获取数据而导致的注入,但是密码加密方式为:解开密码的概率不大,同时在后台也没能找到getshell的地方。类似钓鱼,诈骗这类的网站几乎都是在和数据库交互,操作文件的地方比较少。正文Demo如下:我这里使用的thinkphp3.2....
ThinkPHP_getshell-v2.zip
11-11
标题“ThinkPHP_getshell-v2.zip”提示我们关注的是与ThinkPHP框架相关的安全问题,特别是一个可能导致getshell的漏洞。Getshell通常指的是攻击者能够通过某种方式在目标服务器上执行命令,这通常与代码注入漏洞相关...
thinkphp3.1.3 getshell_ThinkPHP6.0任意文件创建Getshell复现
weixin_39818662的博客
11-21 778
本公众号专注于最新漏洞复现,欢迎关注!------------------------------------------------------------------------------------本文作者:shiyi(Timeline Sec团队成员)本文共1082字,阅读大约需要3~4分钟声明:请勿做非法用途,否则后果自负0x01 简介ThinkPHP框架是MVC结构的开源P...
2024年ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,2024年最新网络安全面试数据结构算法
2401_84301389的博客
05-10 1322
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
php绕过宝塔,Thinkphp绕过宝塔getshell
weixin_35904873的博客
03-27 1301
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo()Emmmm,怎么办呢。。。。。直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦所以得配合点黑科技,使用特殊小马,加URL编码三次url:...
Thinkphp绕过宝塔getshell
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-07 1万+
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo() Emmmm,怎么办呢。。。。。 直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。 但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦 所以得配合点黑科技,使用特殊......
ThinkPHP笔记:四种URL模式 URL_MODEL
成长笔记
03-10 1万+
ThinkPHP支持四种URL模式,可以通过设置URL_MODEL参数来定义,包括普通模式、PATHINFO、REWRITE和兼容模式。 1.普通模式:'URL_MODEL'=>0, http://serverName/appName/?m=module&a=action&id=1 2.PATHINFO模式:'URL_MODEL'=>1,(系统默认的模式) 默认使用UR...
thinkphp漏洞利用工具-thinkphp_gui_tools(三)
siu~
08-17 3628
ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含,宝塔绕过
渗透测试 | ThinkPHP渗透
weixin_50464560的博客
03-31 2914
转载至 渗透测试 | ThinkPHP渗透 - FreeBuf网络安全行业门户 前言 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为 ThinkPHP 它遵循 Apache2开源协议发布,从 Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了 Struts的思想和 TagLib(标签库)、RoR的ORM映射和 ActiveRecord模式。 Thi..
ThinKPHP 3.2.3 URL_MODEL => 3 使用U方法URL失效,缺失index
Future_One的专栏
06-14 2167
    ThinKPHP 3.2.3使用过程中,使用URL_MODEL => 3是,使用U方法的时候U('Index/index'),URL出现缺失index的情况,http://域名/.php?s=/Index/index.html,但是URL_MODEL 等于其他的模式使用U方法都是正确的。在LNMP下出现这种情况,会出现这种情况。        我查找过各种各样的方案和方法,但是都是无...
ThinkPHP3.2 四种 URL_MODEL模式
haocaicai的博客
09-06 5305
ThinkPHP支持四种URL模式,可以通过设置URL_MODEL参数来定义,包括普通模式、PATHINFO、REWRITE和兼容模式。 普通模式 :URL_MODEL=0 url格式:http://serverName/appName/?m=module&a=action&id=1 PATHINFO模式 (默认): URL_MODEL=1 PATHINFO模式包括普通模式和智...
Nginx+php 搭建Thinkphp服务支持URL_MODEL全模式
热门推荐
韩搏专栏
03-05 4万+
以下部署中nginx配置支持thinkphpURL_MODEL全模式 ‘URL_MODEL’ => 1, // URL访问模式,可选参数0、1、2、3,代表以下四种模式:// 0 (普通模式); 1 (PATHINFO 模式); 2 (REWRITE 模式); 3 (兼容模式) 默认为PATHINFO 模式 安装Nginx(1.16.1)...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
thinkphp中__PUBLIC__常量的用法.zip
01-08
2. **模板字符串替换**:在ThinkPHP中,可以通过配置文件设置`TMPL_PARSE_STRING`来实现模板字符串的自定义解析。例如,你可以定义一个新的常量`__STATIC__`来代表静态资源目录,这样可以避免在代码中硬编码路径,...
ThinkPHP核心版本.zip_ThinkPHP核心版本_thinkphp_thinkphp schema_部署
09-20
这个名为"ThinkPHP核心版本.zip_ThinkPHP核心版本_thinkphp_thinkphp_schema_部署"的压缩包显然包含了ThinkPHP框架的核心组件,以及与数据库模式(schema)和部署相关的资源。 1. **ThinkPHP核心版本**:ThinkPHP的...
ThinkPHP_v5.0.7.zip_ThinkPHP V5.0.7_thinkphp
09-23
《深入理解ThinkPHP V5.0.7框架》 ThinkPHP,作为一个广受开发者欢迎的开源PHP框架,其V5.0.7版本是其发展过程中一个重要里程碑。这个版本不仅继承了ThinkPHP一贯的轻量级和面向对象设计原则,还引入了诸多新特性和...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
thinkphp_3.0_full
01-26
thinkphp_3.0_full具有良好的扩展性和灵活性,可以满足不同规模和需求的项目开发。它提供了丰富的库和组件,包括数据库操作、表单验证、文件上传、缓存管理等功能,减少了开发人员在项目开发中的重复劳动。此外,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值