ThinkPHP RCE漏洞分析合集

最新推荐文章于 2025-05-21 11:55:30 发布
原创 最新推荐文章于 2025-05-21 11:55:30 发布 · 4.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了ThinkPHP从5.0.10到6.0.1版本中涉及的多个远程代码执行(RCE)漏洞,包括缓存函数设计缺陷、变量覆盖导致的文件包含、未开启强制路由问题、核心类Request的漏洞以及6.0版本的任意文件写漏洞。通过案例复现和源码分析,揭示了漏洞的成因和修复方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

更多黑客技能 公众号:暗网黑客

作者:掌控安全-veek

一. ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致代码执行

0x00 背景

网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。

而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。

0x01 实验环境

系统环境

服务器主机:centOS 7

php 5.4版本,apache2,ThinkPHP 5.0.10

0x02 漏洞利用

将 application/index/controller/Index.php 文件中代码更改如下:

 <?php
 namespace app\index\controller;
 use think\Cache;
 class Index
 {
   
 public function index()
 {
   
 Cache::set("name",input("get.username"));
 return 'Cache success';
 }
 }

访问 http://localhost/tpdemo/public/?username=xxx%0d%0aphpinfo();//,即可将 webshell 等写入缓存文件。
在这里插入图片描述
在这里插入图片描述

0x03 漏洞分析

首先,查看缓存调用的方法
图片

跟进set方法,可见此处动态实例化了一个类
图片

从这个代码中我们可以看出来,这里获取外部一个配置的数组然后传
进了方法,而默认的cache.type为“File”,这个方法会根据我们的配置数据来动态的调用类执行不同的缓存操作

图片

查看connect函数,这里通过一系列判断,根据cache.type的值,找到cache驱动为File,对应44行的think\cache\driver\File类。然后在51行进行实例化,并将其return。
图片

跟进到file类的set函数,可以看到 data 数据没有经过任何处理,只是序列化后拼接存储在文件中,这里的 $this->options[‘data_compress’] 变量默认情况下为 false ,所以数据不会经过 gzcompress 函数处理。虽然在序列化数据前面拼接了单行注释符 // ,但是我们可以通过注入换行符绕过该限制。
图片

最后查看一下文件名的生成方法,可以看到文件名是通过调用 getCacheKey 方法获得的。
缓存文件的子目录和文件名均和缓存类设置的键有关(如本例中缓存类设置的键为 name )。
程序先获得键名的 md5 值,然后将该 md5 值的前 2 个字符作为缓存子目录,后 30 字符作为缓存文件名。
如果应用程序还设置了前缀 $this->options[‘prefix’] ,那么缓存文件还将多一个上级目录。
图片

总结一下,在源码中找到Cache::set(name, value, expire),其中缓存文件名是跟name相关联的,因此可以看作是一个已知条件。

漏洞的关键点就是是否开启缓存,value是否可控。

0x04 修复方案

从重现过程可以看出,在缓存文件里攻击者通过换行写入了恶意代码。可以参考引用文章中的修复方法:

1,打开文件:thinkphp\library\think\cache\driver\File.php
2,找到:public function set($name, $value, e x p i r e = n u l l ) 方 法 3 , 添 加 : expire = null) 方法 3,添加: expire=null)3data = str_replace(PHP_EOL, ”, $data); 即去掉换行。

0x05 参考资料

[ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致 Getshell]
Thinkphp缓存函数设计缺陷getshell漏洞重现及分析

二. ThinkPHP 5.x 变量覆盖导致的文件包含&任意代码执行

0x00 背景

影响版本:5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。

ThinkPHP在加载模版解析变量时存在变量覆盖的问题,且没有对 $cacheFile 进行相应的消毒处理,导致模板文件的路径可以被覆盖,从而导致任意文件包含漏洞的发生。

0x01 漏洞复现

环境:centOS 7, php 5.4, ThinkPHP 5.0.10

首先将 application/index/controller/Index.php 文件代码设置如下:

<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
   
 public function index()
 {
   
 $this->assign(request()->get());
 return $this->fetch(); 
 }
}

创建 application/index/view/index/index.htm

最低0.47元/天 解锁文章
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3889
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP5.0.0~5.0.23RCE 漏洞分析及挖掘思路
shelter1234567的博客
01-16 2324
本节我将分析thinkphp5.0.x 版本的RCE漏洞,根据漏洞的研究模拟挖掘此漏洞的思路
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7616
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
全网最全面的RCE漏洞详解及绕过总结,网络安全零基础入门到精通实战教程!
最新发布
白帽阿叁的博客
05-21 977
RCE(远程代码执行)漏洞是Web应用开发中常见的安全问题,通常由于应用对用户输入过滤不严,导致恶意用户能够执行任意代码或系统命令。常见的RCE漏洞函数包括系统命令执行函数(如system、exec、shell_exec等)和代码执行函数(如eval、assert、preg_replace等)。攻击者可以通过多种方式绕过安全防护,如使用管道符、空格过滤、反斜杠、取反、异或、自增、黑名单绕过、编码绕过、正则匹配绕过、引号绕过等技巧。此外,攻击者还可以使用替代命令(如more、less、tac等)来绕过对特定命
漏洞复现】ThinkPHP3.2.x RCE 漏洞复现
m0_46344990的博客
04-10 5644
目录 一,漏洞描述 二,漏洞发现 三、漏洞利用 本人是一个小白,目前大三计算机专业,出于对网络安全的热爱自学了好久。在学习网络安全的路上简直坎坷,有时候迷茫有时候又找到了方向,全凭自己摸索。啊,真希望有个老师傅能带带我。这也是我第一次复现漏洞,还不会thinkphp框架,就先看视频自学了几天,才把这个漏洞琢磨透。。。结合网上其他文章修改总结了一下。要是有错误或者不合理的地方,也请多多担待。 一,漏洞描述 描述: ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框...
Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞复现(六十四)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-23 1725
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
thinkphp 5.0.23 rce 漏洞复现
m0_65764670的博客
05-29 678
这里的rce是远程命令,此漏洞利用过程为访问/index.php?进入靶场文件使用docker-compose up -d拉取镜像。使用info 0​查看适用版本。设置靶机和攻击机IP。
代码审计-thinkphp 反序列化引起rce漏洞
gj204106的博客
10-09 677
目前的pop链:__destruct()->removefile()->file_exists()->__toString()->toJson()->toArray()->__call()->call_user_func_array()由上图代码可知,要满足date为数组,filter = $this->getFilter($filter, $default),发现filterValue()方法在input()方法里面,所以再跟踪谁调用了input()方法。此漏洞需要成品有涉及到反序列化。
ThinkPHP2-RCE漏洞复现
weixin_73180072的博客
09-10 1044
这个函数会接收用户的输入,并将其存储在一个缓存文件中,以供后续使用。然而,由于没有对用户输入进行适当的过滤和验证,攻击者可以构造一个包含恶意代码的输入数据,并将其提交给该函数。当其他用户访问该应用程序时,这些恶意代码就会被执行,攻击者就可以控制整个服务器。造成该漏洞的原因在于ThinkPHP 2.x版本中,某些函数没有对用户输入进行严格的过滤和验证,导致攻击者可以通过构造恶意输入来绕过安全防护,执行恶意代码。攻击者通过利用该漏洞,可以在服务器上执行任意PHP代码,从而控制服务器。成功连接,获取shell。
ThinkPHP RCE 漏洞利用教程
gitblog_00097的博客
08-15 610
ThinkPHP RCE 漏洞利用教程 ThinkphpRCE项目地址:https://gitcode.com/gh_mirrors/th/ThinkphpRCE 1. 项目目录结构及介绍 在ThinkPHPRCE项目中,主要包含了以下目录和文件: public: 此目录是ThinkPHP框架对外的入口点,通常用于放置index.php以及.htaccess等文件。 runtime: 运行时目...
Think PHP 5 RCE漏洞复现及排查
dayouzi的博客
08-11 2765
ThinkPHP是一款运用极广的PHP开发框架。其漏洞点是由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞
ThinkPHP框架常见漏洞的探讨
sys333666999的博客
06-27 544
为了防范远程代码执行漏洞,开发者应加强对用户输入数据的验证和过滤,避免将用户输入直接拼接到代码或SQL语句中,同时及时更新框架版本,修复已知的安全漏洞。在ThinkPHP框架中,如果开发者对用户提交的数据未进行充分的过滤和转义,就可能导致XSS漏洞的产生。在ThinkPHP框架中,如果开发者对上传的文件未进行充分的验证和过滤,就可能导致恶意文件的上传和执行。为了防范文件上传漏洞,开发者应对上传的文件类型、大小和内容进行严格的限制和检查,避免接受不必要的文件类型。
ThinkPHP5系列远程代码执行漏洞复现(详细)
热门推荐
weixin_53730939的博客
03-20 1万+
ThinkPHP5系列远程代码执行漏洞复现(详细)
thinkphp5-rce
shierbai的博客
05-17 590
method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id(系统命令)此之前的版本中,获取method的方法没有正确处理方法名,攻击者可以调用request类任意方法并构造利用链,从而导致远程代码执行漏洞。其版本5中,没有正确处理控制器名,导致网站在没有开启强制路由的情况下(默认情况)可以执行任意方法,从而导致远程命令执行漏洞。应用:很多cms是基于thinkphp5二次开发的,所以出问题的话,会影响很多基于其开发的网站。
网络安全深入学习第二课——热门框架漏洞RCEThinkphp5.0.23 代码执行)
p36273的博客
09-16 1775
简言之,别人帮你建好了房子但尚未装修,你需要在别人设计好的户型里去装修,省去你搬砖的重复性操作。------ ThinkPHP发展至今,核心版本主要有以下几个系列,ThinkPHP 2系列、ThinkPHP 3系列、ThinkPHP 5系列、ThinkPHP 6系列,各个系列之间在代码实现及功能方面,有较大区别。其中ThinkPHP 2以及ThinkPHP 3系列已经停止维护,ThinkPHP 5系列现使用最多,而ThinkPHP 3系列也积累了较多的历史用户。
攻防世界-php_rce(远程执行漏洞
m0_62094846的博客
12-21 1520
打开可以看到一个比较真实的网站,也有超链接可以连接到其他的网站 看到ThinkPHP就可以想到远程执行漏洞(看wp) 语句: index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php代码 index.php?s=index/\think\app/invokefunction&function=call_use...
thinkphp5 RCE漏洞分析
02-22
### ThinkPHP5 RCE漏洞详细分析 #### 漏洞概述 ThinkPHP是一款广泛使用的PHP开发框架,在多个版本中存在远程代码执行(RCE)漏洞。这些漏洞主要由变量覆盖引起,特别是在`thinkphp/library/think/Request.php`文件中的`method`方法允许攻击者通过特定参数覆盖类的核心属性`filter`,进而触发RCE[^1]。 #### 影响范围 受影响的主要版本包括但不限于5.0.23之前的版本。具体来说,获取HTTP请求方法的方式存在问题,未正确过滤输入数据,使得攻击者能够调用`Request`类内的任意公共函数并构建恶意利用链路,最终实现远程代码执行[^2]。 #### 攻击向量 当应用程序未启用强制路由模式时,如果开发者未能充分验证传入的控制器名称,则可能导致未经授权访问内部功能接口的情况发生。这种情况下,攻击者只需构造特制URL即可绕过正常的安全机制来执行任意PHP代码片段或操作系统指令[^3]。 ```bash http://example.com/index.php?s=/Home/Index/index&method=call_user_func_array&function=var_dump¶ms[][a]=b ``` 上述示例展示了如何利用此漏洞发起一次简单的测试性质的探测尝试(实际环境中应遵循合法授权流程)。请注意,这里仅用于说明目的,并不鼓励任何形式非法行为。 #### 修复建议 为了防止此类安全风险的发生: - **升级至最新稳定版**:官方已经发布补丁解决了已知的安全隐患,请及时更新到最新的ThinkPHP发行版本。 - **严格控制外部输入**:对于所有来自客户端的数据都应当实施严格的校验措施,特别是涉及到路径解析、查询字符串解析等场景下的敏感操作。 - **禁用不必要的特性**:关闭那些容易被滥用的功能选项,比如动态加载模块支持或是自定义路由规则等功能;同时考虑设置更严格的权限策略限制某些API端点只响应内网流量。 - **增强日志审计能力**:部署完善的监控体系以便于第一时间发现异常活动迹象,并定期审查服务器上的各类记录文档寻找潜在威胁信号。 ```diff // 修改配置文件 application/config.php 中的相关项如下所示: 'route_check_cache' => false, 'disable_functions' => 'exec,passthru,shell_exec,system', 'app_debug' => true, 'url_route_on' => false, ``` 以上修改旨在减少可能存在的安全隐患,提高系统的整体安全性水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值