快速开发后台不用太多代码的 tp5_「漏洞分析」ThinkPHP5任意代码执行分析全记录...

最新推荐文章于 2024-06-16 19:36:15 发布
最新推荐文章于 2024-06-16 19:36:15 发布
阅读量406 收藏 2
点赞数
文章标签: 快速开发后台不用太多代码的 tp5

一 、前言

ThinkPHP是为了简化企业级应用开发敏捷WEB应用开发而诞生的轻量级PHP开发框架,具有免费开源、快速、简单且面向对象等特点。
在ThinkPHP的5.*版本中存在安全隐患,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,可能出现getshell漏洞。受影响的版本包括5.0和5.1。

本期安仔课堂,ISEC实验室的黄老师将为大家介绍ThinkPHP5的相关知识点,欢迎感兴趣的朋友一起交流学习。

二、漏洞分析

该漏洞源于ThinkPHP5框架底层对控制器名过滤不严,允许黑客通过url调用Thinkphp框架内部的敏感函数,出现getshell漏洞。具体代码实现如下:

185de9e1d88dbe34cf3b114c725e71f7.png

图1

2.1

thinkphp/library/think/App.php

首先看到routecheck代码,由于没有在配置文件上定义任何路由,所以默认按照图一的方式进行解析调度。如果开启强制路由模式,会直接抛出错误,这时通过Route::import命令加载路由,继续跟进路由。

a96411c11a297205ed070760826a8647.png

图2

2.2

thinkphp/library/think/Route.php

可以看到tp5在解析URL的时候只是将URL按分割符分割,并没有进行安全检测。继续分析:

a122370fa68db88933819dabdfe60176.png

图3

其中,渗透测试人员最为关心的是Exchange对外提供的访问接口,以及使用的加密验证类型

2.3

thinkphp/library/think/App.php

可以看到:由于程序并未对控制器进行有效的安全过滤和检查,因此测试人员可以通过引用“”来调用任意方法。

7097b675fb6dddf9652cfcc76be68ef0.png

图4

2.4

跟进到module方法

5aa93b70c5c268a6ee41a338a7f82653.png

图5

在测试时注意使用一个已存在的module,否则会抛出异常,无法继续运行。此处直接从之前的解析结果中获取控制器名称以及操作名,无任何安全检查。

2766f316ecb6058526e2794a4d1702f0.png

图6

2.5

跟进到实例化Loader 控制器方法

575cf8c8325289daf3054b5feba28a81.png

图7

可以看到如果控制器名中有“”,就直接返回。回到“thinkphp/library/think/App.php”的module方法,正常情况下应该获取到对应控制器类的实例化对象,而我们现在得到了一个“hinkApp”的实例化对象,通过url调用其任意的public方法,同时解析url中的额外参数,当作方法的参数传入。我们可以调用invokeFunction这个方法,构造payload为:

fb768cb477c789bfd6b571323d8242a8.png

图8

三、漏洞利用

所有基于tp5.0框架建设的网站都受此漏洞的影响。

3.1

测试该漏洞点是否被修复

1b1781a695f19b5de13ce8f134468430.png

图9


网址后面直接拼接以上代码,执行之后发现出现phpinfo页面,说明漏洞存在。

ec23753526e2f960056095f843f04b0e.png

图10

3.2

在public目录下创建insfo.php

487120407c63d22e8e9237869bd88a92.png

图11

修改漏洞利用代码,直接在public目录下创建一个名为insfo.php的一句话木马。

63d77b765f899813228dcfe32b62819e.png

图12

3.3

删除insfo.php文件

7ba0034e0a5f8bfb22c26721c5afeb39.png

图13

四、解决方案

直接添加补丁,升级ThinkPHP版本,开启强制路由,在ThinkPHP5.0版本的thinkphp/library/think/App.php , Module类的获取控制名处添加如下代码,正则过滤:

ca84a5d285f6e016aba0878b63b72b91.png

图14

weixin_39994438
关注
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 7377
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
geejkse_seff的博客
07-29 1712
好了,回到正题,继续跟进到877行,
ThinkPHP5.0.x远程执行漏洞分析与复现
qq_74148743的博客
05-11 1356
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
ThinkAdmin后台开发框架 v5.0
u011675226的博客
07-09 528
我们致力于二次开发底层框架,提供完整的组件及API,基于此框架可以快速开发应用,另外项目安装及二次开发可以参考 ThinkPHP 官方文档,数据库文件摆放在项目根目录下。ThinkAdmin 非常适用快速二次开发,默认集成 微信开发组件,支持微信服务号,微信支付,支付宝支付,阿里云OSS存储,七牛云存储,本地服务器存储。在线体验地址:https://demo.thinkadmin.top (账号和密码都是 admin )
thinkphp5框架漏洞
m0_74196038的博客
03-07 1494
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha特殊url编码之后的POC。
ThinkPHP5 远程代码执行漏洞分析
repoman的博客
03-16 7897
前言 消息刚刚曝出来的时候还以为自己能半天把漏洞给找出来,果然是太菜太年轻了,23333 漏洞分析 漏洞点 此次漏洞出现在ThinkPHP用于处理HTTP请求的Request类中,其中的method方法用于获取当前的请求类型。 thinkphp/library/think/Request.php var_method为“表单伪装变量”,可在application/config.ph...
thinkphp5的漏洞
https://www.cnblogs.com/zpchcbd/
04-10 1347
文件包含: http://ip/index.php?s=captcha&m=1 post提交: _method=__construct&filter[]=think__include_file&get[]=/home/www/test3/public/1.txt&method=get&server[]= 代码执行漏洞: http://bugbank.51vi...
Thinkphp5.0.x 文件包含漏洞
weixin_61785633的博客
07-30 688
这个漏洞我复现的不是很完善,按网上的教程,传入图片码是可以被解析为php文件,从而实现攻击,但是我尝试了几次都不成功,目前还不知道是为什么。
记一次从零到getshell的渗透历程
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 3126
0x00 前期 拿到测试范围清单后,首先用脚本获取了下各个子站的标题,基本都是XXX管理系统。浏览器查看后,各个子站也大同小异,纯登录系统,带验证码。这些系统基本都是jsp写的,逮到了两个没有验证码的小宝贝,一番暴力破解,小宝贝对我说:别爱我,没结果。又看到了两个站返回的Set-Cookie头:rememberMe=deleteMe; 很明显,这是Apache Shiro。打了一波exp,没有反应,放弃。搞了三天啥都没搞出来,和女朋友出去玩散散心,还是很高兴。 0x01 初显进展 测试范围内有六个门户
谈谈对后台登陆页面的渗透测试
09-10 2206
前言 有些朋友在渗透时扫描到后台登陆界面,却不知道如何入手。最近刚好在某公司做安全顾问,对目标固定的系统渗透有些体会。因此这里讲一下对网站后台登陆界面的渗透思路,希望能为大家提供一些帮助。 开始 本人在进入登陆界面时,一般都是先用万能密码什么的测下输入框有没有注入(现在很少见了)。如果没有,那就先拿admin,123456什么的测试下弱口令,不求运气爆棚一下就猜到密码。主要是...
thinkphp5漏洞验证
04-16
thinkphp漏洞验证文档,此文档仅用于漏洞验证等白帽子行为,请勿用于网络攻击等非白帽子行为
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
基于thinkphp图书管理系统
05-11
一个用thinkPHP框架写的图书管理系统程序,简单易懂,适合新手学习,一个在此基础上比葫芦画瓢。很好的学习资源。
开发知识点-LBS用户位置Redis-GEO附近人/店铺
aming小老弟
10-17 631
代码】解决方案-用户位置GEO附近人/店铺。
近期1年来PHP面试题整理
wang_ze的博客
05-31 5809
面试: 冲击月薪18k(税后),你应该具备哪些技能?1.熟悉设计模式,单例,工厂,策略,观察者能根据实际场景写出代码2.熟悉框架tp,yii,larval,symfony,Phalcon7;至少读过其中之一的源码3.熟悉memcache,redis的使用,特别是redis,熟悉redis的主从配置;熟悉mongodb4.熟练掌握mysql,视图,触发器,sql语句优化,表设计,sql注入,锁,事物...
ThinkPHP 5.1.X 反序列化漏洞:深入分析与利用技巧
最新发布
weixin_43822401的博客
06-16 532
在Web应用开发中,框架的安全性至关重要。ThinkPHP作为广泛使用的PHP开发框架,其版本5.1.X中存在一个反序列化漏洞,允许攻击者执行任意代码。本文将深入分析漏洞的原理、利用方法,并提供相应的防护措施。
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7250
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 8955
ThinkPHP5系列远程代码执行漏洞复现(详细)
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7068
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP5.0.* Request类远程代码执行漏洞分析
攻击者可以利用这个漏洞执行任意代码,对系统造成严重威胁。" 在ThinkPHP框架中,`Request`类是用来处理HTTP请求的核心类,包含了诸如判断请求类型(GET、POST、PUT等)的方法。在描述中提到的`isGet`, `isPost`, `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值