ThinkPHP非强制路由漏洞

已于 2025-03-07 16:06:19 修改
阅读量311 收藏 3
点赞数 4
分类专栏: php反序列化 代码审计 渗透测试 文章标签: web安全 系统安全 php ThinkPHP框架漏洞 ThinkPHP非强制路由漏洞
于 2025-03-06 23:25:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146082844
版权

文章目录

ThinkPHP非强制路由漏洞

通过unserialize触发

通过phar触发

与文件操作相关的函数执行 phar://xxx 时,会自动进行反序列化操作,而再构造phar文件时,我们可以自行添加想要进行序列化的内容

一、理解ThinkPHP路由原理

1、路由规则

在默认的 /tpdemo/route/route.php 文件中,定义了默认路由:

// 定义了匿名控制器,访问 /public/route.php 时,直接返回结果
Route::get('think', function () {
    return 'hello,ThinkPHP5!';
});


// 访问地址 /public/hello/woniu 对应控制器为:Index,对应方法:hello,对应参数名:name,对应参数值:woniu
Route::get('hello/:name', 'index/hello');

// 自定义以下路由,那么控制器代码应该如何写?
Route::get("test$","Test/index");  // 以 $ 结尾表示 URL以test 结尾
Route::get("test/demo/:a/:b","Test/demo");  //:a :b  分别表示参数a和b

2、控制器

以下代码位于: /tpdemo/application/index/controller/Test.php

<?php

namespace app\index\controller;

class Test {
    public function index() {
        echo "Test -- Index";
    }

    public function demo($a,$b) {
        echo $a + $b;
    }
}

?>

3、访问路径

上述控制器Test由于定义了路由规则,所以按照正常的路由规则访问即可:

http://192.168.230.188/tpdemo/public/test

image-20240905224429632

http://192.168.230.188/tpdemo/public/test/demo/100/200

image-20240905224506010

事实上,ThinkPHP为了考虑与早期八本的兼容性,默认保留了兼容模式,只要定义了类文件,即使不定义路由规则,也可以直接访问,这类参数再 /tpdemo/config/app.php 的全局配置文件中可以看到

image-20240905230407453

所以,基于兼容模式和非强制路由的情况下,我们可以直接不在定义路由规则的情况下,直接使用兼容模式访问控制并传参

http://192.168.230.188/tpdemo/public/index.php?s=index/test/index

http://192.168.230.188/tpdemo/public/index.php?s=index/test

http://192.168.230.188/tpdemo/public?s=index/test

以上三种情况的访问结果均是 Test – Index

image-20240905230823676

传参的URL不同模式

http://192.168.230.188/tpdemo/public/index.php?s=index/test/demo/a/100/b/100

http://192.168.230.188/tpdemo/public?s=index/test/demo/a/100/b/100

image-20240905231016522

http://192.168.230.188/tpdemo/public/index.php?s=index/test/demo&a=100&b=100

image-20240905231100965

4、自动加载机制

image-20240905231749313

二、搜索潜在漏洞

image-20240905231819907

三、漏洞调用分析

URL地址访问时,注意路径使用斜杠(/),类的路径使用反斜杠(\),此时,基本上就可以通过这样的方法调用任意类中的任意方法,然后传参

image-20240905231836737

比如这里的第一个URL地址

image-20240905233032370

调用的是 下图这个方法think控制器下的Request类的input方法

image-20240905233401749

然后

image-20240905233458360

image-20240905233637845

Thinkphp5未开启强制路由导致的RCE 漏洞复现与分析
xiaolong22333的博客
09-28 1097
影响版本 小于5.0.23 小于5.1.30 5.0.x ?s=index/think\config/get&name=database.username # 获取配置信息 ?s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件 ?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件 ?s=index/\think\app/invokefunction&
ThinkPHP未开启强制路由导致RCE
11-21 593
未开启强制路由导致RCE 对TP5.0.5的RCE分析 ThinkPHP5.0.5 payload/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 未开启强制路由,并开启兼容模式 漏洞分析 先进入App::run方法,然后前面那些获取默认语言啥的代码不用管,再获取$dispatch变量,此变量为空进而调用rout
thinkphp5 未开启强制路由RCE
fmyyy1的博客
07-28 559
演示版本5.0.15 最终是利用反射调用函数执进行RCE application/config.php强制路由默认为false 从payload来看 ?s=index/\think\app/![invokefunction](https://img-blog.csdnimg.cn/d8840390e06843daa80de48c6c20195c.png) &function=call_user_func_array&vars[0]=system&vars[1][]=whoami
热门框架漏洞Thinkphp
2302_79885863的博客
04-25 1972
(__construct是一个魔术方法里面的一个析构函数,只要我在对象里面new了一个对象之后,会自动调用__construct里面的代码,我们不需要进行调用,我们只要创建一个对象会自动调用,这个参数会对我们网站里面的代码进行覆盖他就会那个本来要执行的代码进行覆盖。这里达到的效果是phpinfo(1),我们正常写的情况下里面没有值这里给了一个1的值,是因为我们这里查找的php文件不完整数字不同,获取的文件里面的信息也是不同。的情况下,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生。
Web】Ctfshow Thinkphp5 强制路由RCE漏洞
uuzeray的博客
12-29 1126
前面审了一些tp3的sql注入,终于到tp5了,要说tp5那最经典的还得是rce下面介绍强制路由RCE漏洞
Thinkphp 5.x 未开启强制路由导致RCE分析
weixin_43263451的博客
03-31 2591
这种类型的漏洞是因为框架对于控制器名没有进行足够的校验,在没有开启强制路由的情况下,攻击者可以通过兼容模式调用任意的控制器的操作,从而达到远程命令执行。 1. 影响版本 5.0.7<=thinkphp<=5.0.22 5.1.x 2. 漏洞复现 环境: thinkphp5.0.20+php5.6.27+apache+phpstorm POC: ?s=index/\think\app/invokefunction&function=call_user_func_array&vars
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 4400
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP历史漏洞
HAKUNAMATATATTA的博客
12-30 6664
Thinkphp 是一种开源框架。是一个由国人开发的支持windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。
Thinkphp漏洞
weixin_43873557的博客
02-06 1105
Thinkphp介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持 windows/Unix/Linux等服务器环境。 ➢ Thinkphp应用 很多cms就是基于thinkphp二次开发的,所以thinkphp出问题的话,会影响很多基于thinkphp开发的网站。 ➢历史漏洞 ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell ThinkPHP5_SQL注入漏洞&&敏感信息泄露 ThinkPHP3.2.3_最新版update注入漏洞 Thin
[漏洞复现]ThinkPHP 5.0.x 未开启强制路由导致的RCE
wwxxee
05-20 831
ThinkPHP 5.0.x 未开启强制路由导致的RCE 影响版本: ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1.0-5.1.30 环境: vulhub-master/thinkphp/5-rce 启动docker环境之后访问: 这个的版本是ThinkPHP 5.0.20版本: http://ip:8080/ POC: http://192.168.17.134:8080/index.php?s=/Index/\think\app/invokefunction&func
ThinkPHP V5.0.5漏洞_ThinkPHP漏洞分析与利用
weixin_39602280的博客
11-19 2698
一、组件介绍1.1 基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL...
ThinkPHP反序列化漏洞
2303_77642110的博客
05-18 692
中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以最终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源。wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php
Google 发布 Sec-Gemini v1:用 AI 重塑网络安全防御格局?
m0_66917422的博客
04-07 1125
的发布,标志着Google AI在垂直安全领域的一次重要探索。面对不断演变升级的网络威胁,利用人工智能赋能防御者,提升威胁情报分析漏洞分析和响应决策的效率与准确性,已成为大势所趋。虽然目前仍处于实验阶段,但其展现出的潜力预示着,人工智能安全工具有望在未来的网络攻防对抗中扮演越来越关键的角色,帮助防御方在这场不对称的战争中占据更有利的位置。我们期待看到Sec-Gemini及类似技术在实际应用中的进一步发展和落地。Midjourney免费无限生图,就在ChatTools!
大模型在网络安全领域的七大应用
风一样
04-10 488
大模型在网络安全领域的应用已从理论探索迈向初步落地,尤其在威胁检测、漏洞挖掘等场景成效显著。未来,随着多模态大模型与边缘计算的发展,网络安全防护将向“预测-防御-自治”闭环演进,进一步缩小攻防信息差。:恶意代码呈现模块化、跨平台传播特征,需结合大模型动态更新检测规则。:安全编排自动化(SOAR)成为主流,但需持续优化剧本覆盖场景。:动态策略管理成熟度达L2级,已集成到防火墙、IPS等设备。:攻击溯源应用处于L1级,依赖情报库支持。:需解决长上下文失焦和模型幻觉问题。:需平衡计算效率与检测精度。
管道魔法木马利用Windows零日漏洞部署勒索软件
最新发布
FreeBuf_的博客
04-11 98
管道魔法木马利用Windows零日漏洞发起勒索攻击。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
04-02 1123
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
WEB安全--内网渗透--利用Net-NTLMv2 Hash
m0_74800552的博客
04-07 1108
在前两篇文章中分析了NTLM协议中Net-NTLMv2 Hash的生成、如何捕获Net-NTLMv2 Hash,现在就来探讨一下在内网环境中,如何利用Net-NTLMv2 Hash进行渗透。
2025 年网络安全终极指南
网络研究观
04-06 793
通过简单的行动,我们可以保护我们的数据、隐私和财务,降低成为网络攻击受害者的风险。
网络安全危机:如何有效应对DDOS攻击威胁?
2301_78078966的博客
04-08 846
应对DDoS攻击威胁需要构建​​,结合技术手段、应急响应和持续监控,以下从​。
thinkphp5 RCE漏洞分析
02-22
### ThinkPHP5 RCE漏洞详细分析 #### 漏洞概述 ThinkPHP是一款广泛使用的PHP开发框架,在多个版本中存在远程代码执行(RCE)漏洞。这些漏洞主要由变量覆盖引起,特别是在`thinkphp/library/think/Request.php`文件中的`method`方法允许攻击者通过特定参数覆盖类的核心属性`filter`,进而触发RCE[^1]。 #### 影响范围 受影响的主要版本包括但不限于5.0.23之前的版本。具体来说,获取HTTP请求方法的方式存在问题,未正确过滤输入数据,使得攻击者能够调用`Request`类内的任意公共函数并构建恶意利用链路,最终实现远程代码执行[^2]。 #### 攻击向量 当应用程序未启用强制路由模式时,如果开发者未能充分验证传入的控制器名称,则可能导致未经授权访问内部功能接口的情况发生。这种情况下,攻击者只需构造特制URL即可绕过正常的安全机制来执行任意PHP代码片段或操作系统指令[^3]。 ```bash http://example.com/index.php?s=/Home/Index/index&method=call_user_func_array&function=var_dump¶ms[][a]=b ``` 上述示例展示了如何利用此漏洞发起一次简单的测试性质的探测尝试(实际环境中应遵循合法授权流程)。请注意,这里仅用于说明目的,并不鼓励任何形式法行为。 #### 修复建议 为了防止此类安全风险的发生: - **升级至最新稳定版**:官方已经发布补丁解决了已知的安全隐患,请及时更新到最新的ThinkPHP发行版本。 - **严格控制外部输入**:对于所有来自客户端的数据都应当实施严格的校验措施,特别是涉及到路径解析、查询字符串解析等场景下的敏感操作。 - **禁用不必要的特性**:关闭那些容易被滥用的功能选项,比如动态加载模块支持或是自定义路由规则等功能;同时考虑设置更严格的权限策略限制某些API端点只响应内网流量。 - **增强日志审计能力**:部署完善的监控体系以便于第一时间发现异常活动迹象,并定期审查服务器上的各类记录文档寻找潜在威胁信号。 ```diff // 修改配置文件 application/config.php 中的相关项如下所示: 'route_check_cache' => false, 'disable_functions' => 'exec,passthru,shell_exec,system', 'app_debug' => true, 'url_route_on' => false, ``` 以上修改旨在减少可能存在的安全隐患,提高系统的整体安全性水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值