ThinkPHP 5日志文件包含trick

0x00 前言
本文源于实战场景,以下所有测试均基于Fastadmin前台模版getshell漏洞环境
环境:
Win10 
Phpstudy 2018  
PHP-7.0.12 NTS+Apache
Fastadmin V1.2.0.20210125_full 
ThinkPHP 5.0.24
Fastadmin默认配置 (不开启app_debug和app_trace)
 
0x01 正文
我们知道在Thinkphp 5没有开启app_debug的时候,能够写入日志文件的信息很少

而且只有触发报错的时候才会写入部分日志信息,如下:

ThinkPHP 5日志文件包含trick

而直接用url传入php代码,空格会被urlencode
ThinkPHP 5日志文件包含trick

 

观察日志信息,与及分析代码,可控有蓝色框的请求IP地址,红色圆圈的请求方法,与及后面的host和请求uri 

对应代码:

ThinkPHP 5日志文件包含trick

一个个分析一下:
ip可以用X-Forwarded-For等,但最后都过滤了

 ThinkPHP 5日志文件包含trick

 

method:

ThinkPHP 5日志文件包含trick

 

host:

ThinkPHP 5日志文件包含trick

 

uri:

ThinkPHP 5日志文件包含trick

 

可以发现可用的选择还挺多的:

method可以用X-HTTP-METHOD-OVERRIDE头,host可以用:X-REAL-HOST,uri 可以用:X-REWRITE-URL

X-REAL-HOST: <?php phpinfo();?>
X-REWRITE-URL: <?php phpinfo();?>
X-HTTP-METHOD-OVERRIDE: <?php phpinfo();?>

一一对应:

ThinkPHP 5日志文件包含trick

 

 ThinkPHP 5日志文件包含trick

 

 有一点需要注意(看上图),用method头会换成大写,PHP马写进去之后解析可能会出问题,所以建议还是用host和url的两个头

 实战场景:Fastadmin 普通用户可以登陆,有模版渲染漏洞,没有开app_debug,无法修改头像,用模版渲染日志文件getshell

ThinkPHP 5日志文件包含trick

 

ThinkPHP 5日志文件包含trick

 

 ThinkPHP 5日志文件包含trick

0x02 总结
遇到类似的场景时,基于tp5 的文件包含、模板渲染写入PHP代码时可尝试用上述的请求头

ThinkPHP 5日志文件包含trick

上一篇:十五、MySQL高可用二:故障恢复、切换机制、主库断电,binlog如何保存


下一篇:请求被中止: 未能创建 SSL/TLS 安全通道 .NET