文件包含漏洞_Thinkphp5 文件包含漏洞分析复现

最新推荐文章于 2024-06-24 19:55:38 发布
最新推荐文章于 2024-06-24 19:55:38 发布
阅读量187 收藏
点赞数
文章标签: 文件包含漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39724362/article/details/111576131
版权
本文详细介绍了ThinkPHP5的文件包含漏洞,包括受影响的版本、复现步骤以及漏洞分析过程。通过搭建环境,演示了如何利用漏洞,并在分析中解释了变量覆盖和文件包含的工作原理。
摘要由CSDN通过智能技术生成

文章目录

        闲扯

        影响版本

        搭建复现

        分析

闲扯

        无,略。

影响版本

5.0.0~~5.0.18
5.1.0~~5.1.10

搭建复现

之前5.0.12的被我插入了好多自己的代码,懒得删了= =直接去下5.0.18的,

http://www.thinkphp.cn/donate/download/id/1141.html

然后在application\index\controller\Index.php 把index改成这样,调用漏洞函数:582038a55e6bd8777980b2e0e4630040.png
发现访问报错,查看日志,找不到assign()函数:9757e991710a549969666a4c52bdce05.png
全局搜索找到它,然后加上,现在index类就变成了:94025eeb1bd6265eda65208c1e23b2df.png
再去访问,还是报错,查看日志,不存在模板文件:2b2750afbc97eb23565320907a84b4e8.png
自己创建目录创建文件,index.html文件内容随意:bc6bc8bf7f958a63570309b66dd01b2f.png
然后在public目录下放一张图片马:7cbb141054fe727d744d4091fb446c10.png
访问:
/public/index.php/index/index/index?cacheFile=shell.jpg1c54dbbf8faa74420e0f0daf61dc823e.png

分析

get()函数就是获取字段的,不需要跟。

跟入assign()
thinkphp\library\think\Controller.php 144617161b9b7bdb2680bb795ae1c9554f9.png
然后又跳入了另一个assign()
thinkphp\library\think\View.php 92b9ae31a0be5433caf9c2563a1dd4df19.png
我以为是在这里发生覆盖的,结果看到后面的值发现不是:(以前学习变量覆盖的时候都没找到这个函数,知识点+1)166f74b636fefcb90a296d3b50f3b08e.png
然后进入fetch()函数:
thinkphp\library\think\Controller.php 118961a8ba4080b1501a28ab810de6e9abd.png
跳转到另一个fetch()
thinkphp\library\think\View.php 148177198a4d49df3d5b2afc1690db293f6.png
一直跟呀跟,不知道过了多久,跟到了
thinkphp\library\think\Template.php 160行 fetch()函数

在188行的地方跳转到了read()函数里e424accab5d09ab44118b1b452da7f46.png5b32d47b19007d3103e179ea9e648d09.png
thinkphp\library\think\template\driver\File.php 43 read()8e550f83fc5921812a80393e015c386f.png
到这里的时候,如果$vars不为空,且是数组的话,就调用extract函数进行覆盖,而且第二个参数是默认的:edf78f3be8b192d55e4a0c6f35fd20f9.png
再看看现在的参数值:e83719e6a703205825f1323e74c5f418.png
哦吼,覆盖之后变成了这样,然后调用了下面的include 进行包含:aa123ab5a84445ee747b5d650dbb9a88.png
按道理来说,include完成之后,页面应该就直接回显了,但是我在fetch()函数里,把echo注释之后,就不能回显了?a39eea283588357591085ade8a193885.png
找到了这个:不过还是有一点不太明白的样子,略。beb59acf59482639bf187d79dbf15411.png

还剩下缓存文件rce和版本6的洞,冲冲冲。

原文链接:

https://blog.csdn.net/qq_43622442/article/details/108976791

weixin_39724362
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tp5远程代码执行漏洞
$coding的博客
01-09 9394
1.查看网站版本信息 /index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=1 index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[
[代码审计]ThinkPHP5的文件包含漏洞
Huamang的博客
11-03 1134
漏洞影响范围 加载模版解析变量时存在变量覆盖问题,导致文件包含漏洞的产生 漏洞影响版本:5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10 tp框架搭建 tp框架由两部分组成 应用项目: https://github.com/top-think/think 核心框架: https://github.com/top-think/framework 框架下载好后,需要更名为thinkphp 访问localhost/tp5.0.1/publi
solidity合约结构
Liuzhiwang29的博客
09-28 569
solidity 合约结构 什么是智能合约? 一种旨在以信息化方式传播、验证、或执行合同的计算机协议,它允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。 从技术上,通常我们把在区块链上运行的程序称为智能合约 1. 一个简单的智能合约 下面我们用一个简单的智能合约作为示例,来看看智能合约的基本结构: pragma solidity ^0.5.11; contract Counter { uint count = 0; address owner; // ev
fileclude(文件包含漏洞及php://input、php://filter的使用)
Welcome To Myon'Blog !
04-16 4496
fileclude、文件包含漏洞、php://input、php://filter、file_get_contents() 函数、empty()函数、isset函数、PHP伪协议
Python武器库开发-武器库篇之ThinkPHP6 多语言本地文件包含漏洞(六十七)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-24 1112
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
ThinkPHP5 远程代码执行漏洞分析
repoman的博客
03-16 7851
前言 消息刚刚曝出来的时候还以为自己能半天把漏洞给找出来,果然是太菜太年轻了,23333 漏洞分析 漏洞点 此次漏洞出现在ThinkPHP用于处理HTTP请求的Request类中,其中的method方法用于获取当前的请求类型。 thinkphp/library/think/Request.php var_method为“表单伪装变量”,可在application/config.ph...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
### ThinkPHP 5.0 远程代码执行漏洞分析 #### 漏洞背景与概述 ThinkPHP是一款广泛使用的PHP框架,它提供了丰富的功能和良好的性能。然而,如同任何复杂的软件系统一样,它也存在安全漏洞。本次分析的焦点集中在...
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
02.Solidity合约结构(初识别状态变量、局部变量、构造函数、析构函数)
boss2967的博客
11-05 353
1.什么是合约? 在区块链上运行的程序,通常称为智能合约(Smart Contract,所以通常会把写区块链程序改称写智能合约。 合约就是运行在区块链上的一段程序 完整合约 pragma solidity ^0.4.4; contract Counter { uint count = 0; address owner; function Counter() { ...
文件包含漏洞不能包含php,ThinkPHP5漏洞分析文件包含
weixin_35793357的博客
03-19 140
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln 项目上。本篇文章,将分析 ThinkPHP 中存在的 文件包含 漏洞漏洞概要本次漏洞存在于 ThinkPHP 模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0&lt...
Thinkphp5 文件包含漏洞
feng的博客
03-09 1582
前言 本次漏洞存在于 ThinkPHP 模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。 创建: composer create-project topthink/think=5.0.18 thinkphp5.0.18 "require": { "php": ">=5.
渗透测试之路:ThinkPHP漏洞复现
m0_68353775的博客
01-10 2331
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
Thinkphp3.2.3及以下版本漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
thinkphp远程代码执行漏洞分析
weixin_43999372的博客
03-10 731
前言 最近刚刚简单学习了thinkphp,所以就看了看thinkphp爆出的代码执行漏洞。第一次看这种代码,所以是根据大佬们所讲的,加大佬们的payload,加手工调试,总算是找到了一些流程 漏洞版本 thinkphp5.1.* 版本 触发条件 thinkphp5 设置 error_reporting(0) 环境 thinkphp5.1.31+php7.2.13+apache 漏洞分析 漏洞文件:...
ThinkPHP5远程代码执行漏洞
weixin_50464560的博客
08-15 4025
https://zhuanlan.zhihu.com/p/52173644 2018年12月10日,白帽汇安全研究院发现thinkphp官网发布了安全更新,修复了一个远程代码执行漏洞,该漏洞是由于框架对控制器名没有进行敏感字符检测,导致在没有开启强制路由的情况下可能导致远程代码执行。主要影响的版本为5.0.23和5.1.31之前的所有版本。此次爆出漏洞ThinkPHP 5.x版本是官方于2015年发布的新一代框架,其中5.1.0RC版本于今年的5月2日发布,但在短短几个月时间内就爆出远程代码执行漏洞
漏洞复现ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 4310
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
Solidity:合约结构
DoMoreSpeakLess的博客
04-21 5764
合约结构 合约类似于面向编程语言中的类。 每个合约中可以包含状态变量、函数、函数修饰器、事件、结构类型和枚举类型的声明。 还有一些特殊的合约如:库和接口 状态变量 状态变量是永久存储在合约存储中的值 函数 函数是合约中代码的可执行单元。函数通常在合约内部定义,但也可在合约外部定义 函数修饰器 函数修饰器可以用来以声明的方式改良函数语义 事件 事件是能方便调用以太坊虚拟机(EVM)日志功能的接口 结构体 结构体是可以将几个变量分组的自定义类型 枚举类型 枚举类型可用来创建由一定数量的“常量值”构成的自定义类型
Thinkphp5.1.4漏洞复现
05-11
ThinkPHP 5.1.4 存在的两个漏洞: - 20190307 ThinkPHP 5.1.4 远程代码执行漏洞 - 20190308 ThinkPHP 5.1.4 命令执行漏洞 这两个漏洞都是由于 ThinkPHP 5.1.4 中存在的一个路由注入漏洞导致的。 这里以远程代码执行漏洞为例,漏洞利用过程如下: 1. 构造恶意请求 构造如下请求: ``` POST /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1 HTTP/1.1 Host: target.com Content-Length: 0 ``` 其中 `function` 参数值表示要执行的函数名,这里使用的是 `phpinfo`,`vars[1][]` 参数用于绕过参数值为负数的检测。 2. 发送恶意请求 使用 curl 或者其他工具发送恶意请求。 ``` curl -X POST "http://target.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1" ``` 3. 验证漏洞是否存在 如果返回了 phpinfo 的信息,则漏洞存在。 4. 修复漏洞 升级到最新版本的 ThinkPHP,或者手动修复该漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值