環境:
漏洞poc參考:
thinkphp 2.x版本中,使用preg_replace的/e模式匹配路由:實際測試時只要路徑滿足為3層就會觸發命令執行$res = preg_replace('
@(\w+)
'.$depr.'
([^'.$depr.'
\/]+)@e
', '
$var[\'\\1\']="\\2";
', implode($depr,$paths));
導致使用者的輸入引數被插入雙引號中執行,造成任意**執行漏洞。
實際頁面會報錯,但是可以連線getshell
或是直接用命令檢視目錄和敏感檔案(這裡是windows環境)
用msfvenom生成個彈shell程式掛自己**上
在伺服器上先監聽nc -lvp 4444
攻防實驗課讓做的,截圖裡的學號注釋了,嫌麻煩沒有全部放上來
漏洞驗證:
這裡我們能控制$methos來修改post的內容,__construct構造時來覆蓋內容,執行我們想要執行的**
沒啥好說的
修改不存在檔案報錯,確認是檔案包含
遠端檔案包含,實際測試時只能包含本地伺服器上的非php檔案
php.ini配置時加了.;是只能包含本地的檔案
for inclusion (include_path='其他情況時包含在自己伺服器上準備的shell檔案,連線就行了.;c:\php5\pear
') in c:\phpstudy\www\index.php on line 4for inclusion (include_path='
.;c:\php5\pear
') in c:\phpstudy\www\index.php on line 4
漏洞復現 CVE 2020 1938漏洞復現
tomcat connector 是 tomcat 與外界連線的通道,使得它與 catalina 能夠接收外部的請求,傳遞給對應的 web 應用程式處理,並返回對應的請求結果。http connector就是用來提供經常用到的http web服務,而ajp connector使用的ajp協議 apa...
漏洞復現 Winrar目錄穿越漏洞復現
該漏洞是由於 winrar 所使用的乙個陳舊的動態鏈結庫unacev2.dll所造成的,該動態鏈結庫在 2006 年被編譯,沒有任何的基礎保護機制 aslr,dep 等 動態鏈結庫的作用是處理 ace 格式檔案。而winrar解壓ace檔案時,由於沒有對檔名進行充分過濾,導致其可實現目錄穿越,將惡意...
Redis RCE漏洞復現
一 簡介 redis remote dictionary server redis 是乙個由salvatore sanfilippo寫的key value儲存系統。redis是乙個開源的使用ansi c語言編寫 遵守bsd協議 支援網路 可基於記憶體亦可持久化的日誌型 key value資料庫,並提...