tp5 代码执行代码审计

最新推荐文章于 2025-03-24 18:32:55 发布
最新推荐文章于 2025-03-24 18:32:55 发布
阅读量432 收藏 4
点赞数 7
文章标签: 安全 代码复审
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/usingnstd/article/details/141122349
版权

tp5 代码执行代码审计

  • 影响版本:5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30

  • 参考链接:https://www.cnblogs.com/haidragon/p/16872969.html

  • 复现漏洞:代码执行

  • payload:?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

    文章切入点

    存在可控get参数s,与之相关的变量为var_pathinfo

    作全局搜索
    在这里插入图片描述

在这里插入图片描述

发现在下一步把var_pathinfo变量的值赋给_SERVER并且在下一步去掉了左边的“/”,是对输入url的处理,这里是第一处处理

在这里插入图片描述

接下来又在此处把/替换为|
在这里插入图片描述

这里是第二处处理,把/替换成|然后装进list

在这里插入图片描述

从这里可以看到是以/为界限分成多份

也就变成
在这里插入图片描述

根据注释可以知道也就是:

模型:index

控制器:think\app

操作:invokefunction

在这里插入图片描述

进行查找发现是官方函数,ReflectionFunction函数创建一个实例叫做reflect,扔给了invokeArgs,进行查找无果是官方函数

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

在这里插入图片描述

执行,回过头来看看
在这里插入图片描述

这里第一个参数为function=call_func_array

第二个var[0]=system&var1=id

漏洞修复

上文可以看出本质上这串
s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

就是调用了app文件里面的invokefunction方法,并且进行了参数传入,没有对后者进行过滤,导致代码执行

与之相关的同期漏洞

?s=index/\think\Config/load&file=…/…/test.php # 包含任意.php文件

?s=index/\think\Lang/load&file=…/…/test.*** # 包含任意文件

也是同样原理

现有的工具是直接搜索相关方法并进行网上payload验证

在这里插入图片描述

简单修复不妨修改方法名字(bushi)就检测不出来了

在这里插入图片描述

正常修复的话
(本人已尝试)可以对执行参数进行过滤,减少可控参数内容,黑白名单之类的

(本人未尝试)还可以过程从中打断,不让他实例化,从另处进行跳转

代码审计-Thinkphp框架审计前置知识点
xiaoheizi的博客
08-10 1060
使用thinkphp框架的源码审计思路: 1.使用源码查看工具打开源码,全局搜索thinkphp确认源码是否使用thinkphp框架 2.源码如果没有按照thinkphp框架的代码规则来写,则不会触发thinkphp框架的过滤规则。按照常规思路测试即可 3.源码如果是按照thinkphp框架的代码规则来写的,则全局搜索THINK_VERSION确认框架版本信息,根据版本漏洞来测试。否则相当于在测试框架的0day。
从0学代码审计 | thinkphp 5.0.23 RCE
2301_80127209的博客
12-18 1264
ThinkPHP 是一款开源的 PHP 框架,用于快速、简单地开发 PHP 应用程序。它提供了一套丰富的功能和工具,使开发者能够更容易地构建各种规模的 Web 应用。ThinkPHP 的目标是提高开发效率,同时保持代码的可读性和可维护性。thinkphp的许多版本中也爆出了多个漏洞,本篇文章主要记录thinkphp 5.0.23版本 RCE的漏洞复现。
ThinkPHP5代码审计【聚合函数引起的SQL注入】
D.MIND 的博客
05-09 374
文章目录简介环境搭建分析payload修复 简介 Mysql 聚合函数相关方法均存在注入 本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。 漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。 Payload IN :5.0.0~5.0.21 、 5.1.3~5.1.10 id)%2bupdatexml(1,co
thinkphp漏洞再现
最新发布
qq_64470109的博客
03-24 313
Thinkphp5x远程命令执行及getshell。
ThinkPHP5代码审计【变量覆盖引起的文件包含】
D.MIND 的博客
05-10 318
文章目录简介环境搭建分析修复 简介 本次漏洞存在于 ThinkPHP 模板引擎中,在加载模版解析变量时存在变量覆盖问题,而且程序没有对数据进行很好的过滤,最终导致 文件包含漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。 环境搭建 composer create-project --prefer-dist topthink/think=5.0.18 thinkphp_5.0.18 修改json文件
ThinkPHP5之文件包含审计分析(五)
Jeromeyoung
01-06 756
这个漏洞个人认为文件包含是小事,因为重点是在最后的变量覆盖。而且那条代码还是一个经典的变量覆盖漏洞案例。如果是从审计来看,定位到extract函数,注意到这里设置了EXTR_OVERWRITE,那么只要第一个参数可控就可以完成变量覆盖了,include只是完美利用了变量覆盖这个功能。全局搜索也是很容易搜到调用位置的,这里有两处,另外一处是display方法,试了下也是可以完美利用的,它在调用View类下的fetch方法的时候会传入。
记一次有趣的tp5代码执行1
08-03
5. **代码审计**:定期进行代码审计,发现并修复潜在的安全问题。 总结,这个事件展示了如何在面临WAF和函数禁用的情况下,通过编码和`php://filter`伪协议绕过防护措施,执行恶意代码。对于开发者和运维人员来说,...
53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
在网络安全领域,代码审计是确保应用安全性的重要环节。本文主要关注的是针对 TP5ThinkPHP5)框架以及无框架...同时,可以参考官方文档和社区资源,如ThinkPHP5的快速入门指南和社区教程,提高代码审计和防护能力。
tp1:危险品TP1参考代码
02-23
5. **审计与日志**:实施详细的审计和日志记录,可以追踪所有对危险品数据的操作,以便在出现问题时进行调查和责任追溯。 6. **单元测试与集成测试**:通过编写和执行单元测试和集成测试,确保代码功能的正确性,...
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞 本文将对youdiancms最新版getshell漏洞进行代码审计,详细讲解漏洞的发现和利用过程。 SQL注入漏洞 第一步,我们拿到源码,发现该系统是基于THINKPHP3开发的。在App/Lib/...
tp5 转盘抽奖 +随意设置机率和奖品
10-21
优化代码结构,提高执行效率。 七、部署与运行 项目部署在本地服务器,通过访问`http://localhost/lpcj/`启动应用,用户可以进行在线抽奖。确保服务器环境配置正确,如PHP版本匹配、数据库连接正常等。 总结,"TP5...
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现
yzl_007的博客
08-04 1649
ThinkPHP5x 远程代码执行漏洞(CNVD-2018-24942)复现 影响范围 ThinkPHP 5.0.全版本 5.0.13~5.0.19的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞。 漏洞复现 远程代码执行 直接get请求即可 ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=pwd pw
ThinkPHP 系列漏洞_thinkphp漏洞,网络安全开发面试准备
m0_61330806的博客
04-08 1074
??????5.0.x :?s=index/think\config/get&name=database.username # 获取配置信息?s=index/\think\Lang/load&file=…/…/test.jpg # 包含任意文件?s=index/\think\Config/load&file=…/…/t.php # 包含任意.php文件?
学习笔记-ThinkPHP5漏洞分析之代码执行(七)
人饭子的博客
11-09 1287
参考链接:Mochazz/ThinkPHP-Vuln/ 影响版本:5.0.7<=ThinkPHP5<=5.0.22 、5.1.0<=ThinkPHP<=5.1.30 测试环境:PHP7.3.4、Mysql5.7.26、TP5.0.18 5.1.x : ?s=index/\think\Request/input&filter[]=system&data...
ThinkPHP5代码审计【RCE】
D.MIND 的博客
05-14 1377
composer create-project --prefer-dist topthink/think=5.0.23 thinkphp_5.0.23
常见框架漏洞(合集)
qq_66105152的博客
08-07 1336
直接拼接将url中的system替换为phpinfo,whoami替换为-1,则会显示出phpinfo();的执行结果,这说明这个页面也存在远程代码执行漏洞尝试获取shell,利用他的远程命令执行漏洞,输出一个一句话木马到1.php文件中,构造url如下,其中$_POST前加反斜杠是因为该网站会对其进行转义,\可以防止被转义直接在IP后面加上/1.php访问,成功后用蚁剑连接。
vulfocus——thinkphp代码执行(CNVD-2018-24942)
m0_62063669的博客
09-07 742
ThinkPHP5 存在远程代码执行漏洞。该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。4.访问一下http://ip/shell.php,然后用蚁剑连接,在/tmp下找到flag。2.构造payload远程代码执行,在/tmp下获得flag。3.我们还可以通过写入一句话木马的方式获得flag。
php命令执行漏洞利用,ThinkPHP 5.0 & 5.1远程命令执行漏洞利用分析
weixin_31308407的博客
03-21 969
0x01 漏洞利用方式5.0版本POC(不唯一)命令执行:?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=[系统命令]文件写入:?s=index/\think\app/invokefunction&function=call_user_...
Thinkphp5中PDF上传下载及Excel操作演示
4. **安全性**:了解在文件上传下载中可能遇到的安全问题,如文件类型验证、大小限制、防止恶意上传执行代码等,并且能够实现相应的安全措施。 5. **异常处理**:了解在文件操作中如何有效使用异常处理机制,保证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值