vulhub中ThinkPHP 多语言本地文件包含漏洞复现

最新推荐文章于 2025-04-21 19:40:26 发布

余生有个小酒馆

最新推荐文章于 2025-04-21 19:40:26 发布

阅读量593

点赞数 4

分类专栏： vulhub漏洞复现文章标签： web安全

本文链接：https://blog.youkuaiyun.com/yougexiaojiuguan/article/details/136517878

版权

ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前，存在一处本地文件包含漏洞。当多语言特性被开启时，攻击者可以使用lang参数来包含任意PHP文件。

虽然只能包含本地PHP文件，但在开启了register_argc_argv且安装了pcel/pear的环境下，可以包含/usr/local/lib/php/pearcmd.php并写入任意文件。

环境启动后，访问http://your-ip:8080即可查看到ThinkPHP默认的欢迎页面。

漏洞利用

1.首先，ThinkPHP多语言特性不是默认开启的，所以我们可以尝试包含public/index.php文件来确认文件包含漏洞是否存在：

如果漏洞存在，则服务器会出错，返回500页面。

文件包含漏洞存在的情况下还需要服务器满足下面两个条件才能利用：

PHP环境开启了register_argc_argv
PHP环境安装了pcel/pear

Docker默认的PHP环境恰好满足上述条件，所以我们可以直接使用下面这个数据包来在写shell.php

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

余生有个小酒馆

关注关注

4
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ThinkPHP Lang文件包含To远程代码执行漏洞复现—CNVD-2022-86535

afei001

12-14

1484

ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。ThinkPHP存在命令执行漏洞，该漏洞是由于开启了多语言功能，对参数lang传参过滤不严谨，攻击者可利用该漏洞执行命令。本质是ThinkPHP在开启多语言功能的情况下存在文件包含漏洞，攻击者可以通过get、header、cookie等位置传入参数，ThinkPHP LoadLangPack中存在目录穿越漏洞，然后再利用pearcmd文件包含并结合它的指令config-create创建恶意代码，从而实现远程代码执行。

【漏洞复现】CNVD-2022-86535-ThinkphpV6多语言

rm -rf *

01-18

3020

Thinkphp多语言模块漏洞远程命令执行

参与评论您还未登录，请先登录后发表或查看评论

ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现

weixin_45653478的博客

04-27

897

ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前，存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时，攻击者可以通过lang参数和目录穿越实现文件包含，当存在其他扩展模块如 pear 扩展时，攻击者可进一步利用文件包含实现远程代码执行。影响版本。

利用pearcmd.php和文件包含getshell

m0_59053674的博客

04-23

1678

文章介绍如何利用pearcmd来getshel，并对payload的构造格式提出了一点想法

ThinkPHP5 的 SQL 注入漏洞

最新发布

sucker的博客

04-21

762

也就是：$_GET['ids'] 是一个数组，key 为 '0,updatexml(0,concat(0xa,user()),0)'这是一个报错注入语句，updatexml() 是 MySQL 中常见的报错函数，用于将数据输出到错误信息中。攻击者可利用漏洞构造恶意 SQL 语句，绕过预编译机制，直接操作数据库，导致数据泄露、篡改甚至服务器沦陷。时，预编译过程会直接解析 SQL 语句中的动态内容，导致攻击者可通过报错注入（如。）是 ThinkPHP5 框架中一系列因设计缺陷导致的安全问题，主要影响早期版本。

利用pearcmd.php文件包含拿shell（LFI）

m0_62422842的博客

09-08

3100

最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路，通过pearcmd.php来进行本地文件包含来拿shell，我感觉还挺有意思的，就花时间来学习了一下。

Docker php文件本地包含--pearcmd.php利用

banliyaoguai的博客

08-30

1256

docker包含日志文件，基本不可能，就以我自身的一个项目来说，在尝试包含日志文件时发现，客户将他的日志文件从定向到了设备文件，而php没有包含设备文件的权限然后我们就想如何包含，发现客户的文件目录里有一个phpinfo(),然后可以使用phpinfo实现临时文件的包含。但是这个包含的成功率经测试不是很高。所以我们这里再说一个新招。

pearcmd文件包含漏洞

Elite的博客

01-20

1881

pecl是PHP中用于管理扩展而使用的命令行工具，而pear是pecl依赖的类库

框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现

zz12345600354的博客

04-26

913

目录服务攻防-框架安全&CVE 复现&Spring&Struts&Laravel&ThinkPHP * 概述 PHP-开发框架安全-Thinkphp&Laravel * 漏洞复现 * Thinkphp-3.X RCE Thinkphp-5.X RCE Laravel框架安全问题- CVE-2021-3129 RCE JAVAWEB-开发框架安全-Spring&Struts2 * Struts2框架安全

利用pearcmd.php本地文件包含（LFI）

Mrs_H的博客

01-08

6810

利用pearcmd.php本地文件包含（LFI）一.前言 pearcmd这个东西很久以前就已经复现过了，但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell，就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记，于是就有了再复现一遍的想法。二.正文 1.环境的准备这里的话我使用的是docker来搭建的一个lamp，然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢？照P神的话来说就是因为在Docker任意版本的镜像中pear都会被默认安

CTF中的pearcmd.php文件包含

XINO

09-27

1304

还是太菜了，当初看羊城杯的这个题目时完全没有想到可以用这个方法来做，还是做题太少了啊。

Vulhub-thinkphp

Mccc_li的博客

08-09

630

文章目录ThinkPHP 2.x 任意代码执行漏洞漏洞原理 ThinkPHP 2.x 任意代码执行漏洞漏洞原理 ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。 ThinkPHP 3.0版本因为Lite

pearcmd.php文件包含妙用

leekos的博客，分享web安全相关知识~

07-24

1990

是PHP中用于管理扩展而使用的命令行工具，而pear是pecl依赖的类库。在7.4及以后，需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了，使用文件包含注意将路径url编码。不过，在Docker任意版本镜像中，pcel/pear都会被默认安装，安装的路径在。必须传入两个参数，第一个参数传入绝对路径，第二个参数传入想要保存的文件名。运行，如果存在文件包含漏洞，就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径，所以不行。这样，在文件包含下，我们就可以运行。

浅谈文件包含之包含pearcmd.php漏洞

JCPS_Y的博客

10-26

3849

浅谈一下文件包含之包含pearcmd.php漏洞

pearcmd.php文件包含，相关CTF例题

m0_63716101的博客

11-27

1583

pear的默认安装路径为/usr/local/lib/php/pear.php，在命令行中可以使用pear和/usr/local/lib/php/pear.php运行，如果存在文件包含漏洞，则可以直接运行此命令，下面我们介绍一下register_argc_argv选项，如果此选项打开，则此时用户输入的内容。file后面是pearcmd的默认路径，因为Index.php提示了后面会加php，所以直接/usr/local/lib/php/pearcmd就好了。但他最后会在file后面加个.php，题目提示了。

Python武器库开发-武器库篇之ThinkPHP6 多语言本地文件包含漏洞（六十七）

把自己活成一道光，因为你不知道，谁会借着你的光，走出了黑暗。请保持心中的善良，因为你不知道，谁会借着你的善良，走出了绝望。请保持你心中的信仰，因为你不知道，谁会借着你的信仰，走出了迷茫。请相信自己的力量，因为你不知道，谁会因为相信你，开始相信了自己....

06-24

1627

这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装，我们进入 ThinkPHP漏洞环境，可以 cd ThinkPHP，然后通过 ls 查看可以搭建的靶场，目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。

vulhub漏洞—ThinkPHP

weixin_45808483的博客

12-02

510

/index.php?s=captcha _method=__construct&filter%5B%5D=system&method=get&server%5BREQUEST_METHOD%5D=pwd

[Vulhub] ThinkPHP漏洞合集

weixin_45605352的博客

05-11

2990

0x01 复现环境攻击机：kali linux，Windows 10 x64 靶机：XXE（下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/）网络设置：均为桥接模式 0x02 漏洞复现主机发现&端口扫描先确定靶机ip地址，这里用arp-scan -l命令探测内网：发现靶机地址为192.168.43.228，接下来用nmap -sV -p- 192.168.43.228 扫描一下： -sV：探测端口服务版本；-p：指定端口；-v：显示扫描过

【vulhub靶场之thinkphp】——（5-rce）

weixin_57240513的博客

08-07

612

docker-compose ps//查看开启的端口。

thinkphp5文件包含漏洞复现

04-03

### ThinkPHP5 文件包含漏洞复现教程 #### 背景介绍 ThinkPHP 是一款流行的 PHP 开源框架，广泛应用于 Web 应用开发。然而，在某些特定条件下，该框架可能存在严重的安全漏洞。例如，当启用多语言功能或模板引擎未...