php判断版本根据版本调用不同,ThinkPHP5.1.x代码执行漏洞

最新推荐文章于 2022-07-31 01:16:48 发布
最新推荐文章于 2022-07-31 01:16:48 发布
阅读量214 收藏
点赞数
文章标签: php判断版本根据版本调用不同

前言

出题好几天没审计代码了,今天趁体育课来审一下ThinkPHP5.1.x代码执行漏洞。

一开始想做一个大总结来着,看了网上的文章已经有总结的很好的了,我就不再搬砖了。

这个文章仅仅是用来锻炼,哪怕是ThinkPHP5.1.x,他们因为版本的不同,debug是否开启导致payload也会不同。而且现在RCE基本不存在了,找找思路就行了。。

0x01

这里随便写写小总结,只是提一下。

先来明确一下

rce有两个大版本的分别

ThinkPHP 5.0-5.0.24

ThinkPHP 5.1.0-5.1.30

继续根据payload细分:

一种是因为Request类的method和__construct方法造成的,另一种是因为Request类在兼容模式下获取的控制器没有进行合法校验:

继续细分:

1:thinkphp5 method任意调用方法导致rce

上个文章就是分析的这个:

$this->method可控导致可以调用__contruct()覆盖Request类的filter字段,然后App::run()执行判断debug来决定是否执行$request->param(),并且还有$dispatch['type'] 等于controller或者 method 时也会执行$request->param(),而$request->param()会进入到input()方法,在这个方法中将被覆盖的filter回调call_user_func(),造成rce。

2:method __contruct导致的rce

思路基本一致,但是细节不同。此外1和2必须开启debug才能RCE。有captcha路由时无需debug=true。

3:未开启强制路由导致rce

版本和DEBUG选项的关系

有时候你会发现即使版本一样依旧无法RCE

5.0.13版本之后需要开启debug才能rce

但是呢

在thinkphp5完整版中官网揉进去了一个验证码的路由,可以通过这个路由触发rce

在上个文章中也已经验证过了

318fa5d9239a0b7163df5472f7593ba9.png

0x02

今天我们要分析的主题就是未开启强制路由导致rce

环境:

"require": {

"php": ">=5.6.0",

"topthink/framework": "5.1.29"

},

漏洞成因:

690064cfe6bf7bdd95da0bd47b914586.png

thinkphp默认没有开启强制路由

说明我们可以使用路由兼容模式 s 参数,而框架对控制器名没有进行足够的检测,说明可能可以调用任意的控制器任意方法来执行,

eg: http://site/?s=模块/控制器/方法

访问:

76ccf77fb4761931d8ff7993432c4464.png

看payload分析:

首先我们要知道

所有用户参数都会经过 Request 类的 input 方法处理,该方法会调用 filterValue 方法,而 filterValue 方法中使用了 call_user_func。这个在前面文章分析也提过了。

找request方法

跟进到thinkphp/library/think/App.php:402

64fbb30715ac2a2d231d6a5c06f804ef.png

跟进

routeCheck()

就在这个页面中。这个方法最后

return $dispatch

通过打断点

a42004b87d25931274d41f22924f4b57.png

我们看到这个方法把我们的/替换成了|

继续回去看init()

d91bbfc00686040356bfdd35531df11d.png

进入Url.php

eeb77241038afa73d803206d8e1400de.png

进入parseUrl

007ee51c3ad741079e92e510801f60da.png

进入

156ea9e58d1dc40be4c424cd945845b1.png

进入parseUrlPath()

b21de8508f9fa4203c08547bb3777a42.png

这里从URL处获取了

[模块/控制器/操作],导致parseUrl()返回的route为

index think\Request input

为什么呢?我们回到parseUrl()找route

d9f7b830d3ff07703a689400e37a433d.png

导致thinkphp/library/think/App.php:406的$dispatch为

7afc73b7ff273e0b99f2bae7fe0cbc67.png

直接调用了input()函数,然后会执行到 App 类的 run 方法

这里也显示了

caf6d1182ae7a4dfcc53f6347da0d3fa.png

进而调用 Dispatch 类的 run 方法

该方法会调用关键数 exec thinkphp/library/think/route/dispatch/Module.php:84,进而调用反射类

我们跟进

d127b861db55e9cdf816101c2b47105e.png

在 exec 函数中,程序利用反射机制,调用类的方法。这里的类、方法、参数均是我们可以控制的。而且整个过程,并没有看到程序对控制器名的合法性进行检测,这也是导致 远程代码执行漏洞 的直接原因

da745ee91d9f2b14194f872ec4e1ab57.png

cf5eddf1a905f14beb3b86825811fe55.png

所有参数可控,我们让他调用input方法

891d4b8c7f52ed34230701c132e3fbf1.png

input方法已经说过很多次了

进入input()之后继续进入$this->filterValue()

459efa53747832fdd43261e7f57c94dc.png

实现rce

漏洞修复

官方的修复方法是:增加正则表达式

// 获取控制器名

$controller = strip_tags($result[1] ?: $config['default_controller']);

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {

throw new HttpException(404, 'controller not exists:' . $controller);

}

最后用七月火师傅的一张图

ece42591f1b11896ea5178fb25b58394.png

A-Za-z ↩︎

标签:控制器,调用,input,漏洞,代码执行,rce,ThinkPHP5.1,方法,路由

来源: https://www.cnblogs.com/wangtanzhi/p/12715255.html

weixin_39840635
关注
漏洞复现—ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
weixin_45556536的博客
11-24 1536
Thinkphp—2-rce一级目录二级目录三级目录涉及版本漏洞复现2-rce 一级目录 二级目录 三级目录 涉及版本 5.0.8-5.0.13 不需要开启debug // payload POST /tp5010/public/index.php?s=index/index/index HTTP/1.1 Host: 127.0.0.1:8000 Content-Length: 52 Content-Type: application/x-www-form-urlencoded s=whoami&a
php提权教程,thinkphp 5.x版本代码执行可直接提权getshell
weixin_39647412的博客
03-10 1552
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。影响范围5.x < 5.1.31, <= 5.0.23漏洞分析Thinkphp v5.0.x补丁地址: htt...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
php版本漏洞验证方法,ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法...
weixin_31659095的博客
03-17 647
下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这种蠢事。ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件根据官方文档对"防止SQL注入"的方法解释(见http://...
ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
weixin_30363817的博客
07-29 129
漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级严重 影响版本ThinkPHP 5.0系列 < 5.0.24 安全版本ThinkPHP 5.0系列 5.0.24ThinkPHP 5.1系列 5.1.31 安全建议升级ThinkPHP至安全版本修复方法1.打开\thinkphp\libr...
ThinkPHP5小于5.0.24 远程代码执行高危漏洞 修复方案 bug修复
飙歌的博客
05-07 1009
漏洞描述由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 < 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 \thi...
thinkphp5 未开启强制路由RCE
fmyyy1的博客
07-28 531
演示版本5.0.15 最终是利用反射调用函数执进行RCE application/config.php下强制路由默认为false 从payload来看 ?s=index/\think\app/![invokefunction](https://img-blog.csdnimg.cn/d8840390e06843daa80de48c6c20195c.png) &function=call_user_func_array&vars[0]=system&vars[1][]=whoami
thinkphp5调用shell脚本_thinkphp5.x全版本任意代码执行getshell
weixin_32308155的博客
12-23 521
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。主要是因为”\“的错误补丁:环境地址:漏洞利用1.远程命令执行exp:http://localhost:9096/inde...
thinkphp5调用shell脚本_ThinkPHP 5.x远程命令执行测试工具(可getshell)
weixin_39841825的博客
12-23 1345
该工具只能授权验证网站漏洞和站长验证漏洞使用。禁止用于未授权测试,非法入侵,否则一切后果自负,和作者无关。影响范围5.x < 5.1.315.x <= 5.0.23以下基于ThinkPHP5 二次开发的内容管理系统,很可能受到该漏洞影响,建议厂商及时更新。AdminLTE后台管理系统layui后台管理系统thinkcmfH-ui.admin后台管理系统tpshopFsatAdminey...
ThinkPHP5 5.0.22/5.1.29 RCE】
xhwfa的博客
05-02 3333
一、漏洞描述 ThinkPHP是一款运用极广的PHP开发框架。其版本5中,因为没有正确处理控制器名,致使在网站没有开启强制路由的状况下(即默认状况下)能够执行任意方法,从而致使远程命令执行漏洞。 二、影响版本 ThinkPHP 5.0系列 < 5.0.23 ThinkPHP 5.1系列 < 5.1.31 三、漏洞环境搭建 cd /vulhub-master/thinkphp/5-rce docker-compose up -d 访问192.168.110.134:8080,出现如
php被挂马,近日报网站被挂马的解决方法
weixin_29554849的博客
03-12 641
核心框架为ThinkPHP5.0版本的:在think\App类的module方法的获取控制器的代码后面加上if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }最终效果// 获取控制器名$contro...
thinkphp漏洞总结
bhegi_seg的博客
07-31 1179
thinkphp是一个国内轻量级的开发框架,采用php+apache,在更新迭代中,thinkphp也经常爆出各种漏洞thinkphp一般有thinkphp2、thinkphp3、thinkphp5、thinkphp6版本,前两个版本已经停止更新,主要介绍下thinkphp5的漏洞。...
查询thinkphp版本的方法
桃花岛主的博客
01-30 343
找一个控制器,编写代码 echo THINK_VERSION;在浏览器输出就可以看到版本
ThinkPHP5远程代码执行高危漏洞(附:升级修复解决方法)
热门推荐
dabao87的博客
12-12 2万+
漏洞描述 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 &lt; 5.0.23 ThinkPHP 5.1系列 &lt; 5.1.31 安全版本 ThinkPHP 5.0系列 5.0.23 ThinkPHP 5.1系列 5.1.31 ...
PHP 运行时漏洞检测
Coisini的博客
06-04 1255
0x00 前言 这片博文将简单的介绍我编写的 PHP 运行时漏洞检测系统 prvd 的检测逻辑, 以及该系统在实际测试中的效果。 0x01 基本知识 在这里我们先介绍几个常用的词语: - source数据来源点,可以是: 网络,例如常规的 Web 参数等 文件系统 数据库 等等其他用户可控或者间接可控的地方 - filter数据过滤处理点,可以是: 编码解码,例如 base64_decode ...
TP5(ThinkPHP)查看具体的版本
叶落无痕的博客
07-04 3220
TP5查看程序的具体版本号有三种方法: 在控制器中查看版本号 保存文件,在浏览器查看打印结果 在模板中查看版本号,第一步,渲染模板 第二步,编写模板 在浏览器查看模板中返回的版本号 在文件中,查看TP的具体版本,打开文件夹:thinkphp\library 打开文件夹下的App.php文件,即可看到定义的版本号 ...
阿里云对Thinkphp5以上版本漏洞修复方法
Andy ` 勋章的博客
12-24 1822
1.ThinkPHP 5 &lt;=5.0.22 远程代码执行高危漏洞 解决方案: 在think\App类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exis...
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)(转载)
weixin_33709590的博客
12-11 282
2019独角兽企业重金招聘Python工程师标准>>> ...
记录一期Thinkphp5 WebShell木马渗透的经历, 加修复建议
DWH的博客
12-26 8581
ThinkPHP的宗旨是简化开发、提高效率、易于扩展,其在对数据库的支持方面已经包括MySQL、MSSQL、Sqlite、PgSQL、 Oracle,以及PDO的支持。ThinkPHP有着丰富的文档和示例,框架的兼容性较强,但是其功能有限,因此更适合用于中小项目的开发。 但是漏洞也层出不穷,有一天发现自己的的小程序突然打不开了, What ??? 小小的网站也被墙了? 之前抱着一种心态 想着 这么小的网站谁想搞你 然后对网络安全方面视而不理,结果有一天 被啪啪打脸!! 当时很惊慌,未了解网络渗透方面的知识
YznCMS: 高效的ThinkPHP 5.1.x与Layui 2.7.x整合CMS
资源摘要信息:"YznCMS,又名御宅男CMS,是一个使用最新thinkphp5.1.x框架和layui2.7.x前端UI组件库开发的内容管理系统(CMS)。CMS是一种为简化网站管理而开发的应用程序,它允许用户无需技术背景即可创建、管理和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值