thinkphp5网站的安全防护测试

稳哥的小灶 2020-05-31

ThinkPHP 5.0.x板块执行漏洞
 
漏洞影响:
5.0.x<thinkphp<5.0.24
 
Payload
POST提交参数
s=phpinfo&_method=__construcT&filter=call_user_func
<ignore_js_op>
命令执行成功,开启宝塔PHP安全防护
 
<ignore_js_op>
再次请求
<ignore_js_op>
直接被拦截了
Thinkphp5控制器名过滤不严导致getshell
 
漏洞影响:
5.0.x<thinkphp<5.0.24
 
Payload
 
成功利用,开启堡塔安全防护,该恶意请求直接被拦截
<ignore_js_op>
对于thinkphp5的命令执行有很好的防护效果,不过如果有漏洞最好还是进行更新!!!

 

相关推荐