qq_41891666的博客

0x00 前言事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题PDF：https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf里面谈到了反向代理和tomcat 二义性问题导致路径穿越：然后本地搭建tomcat ，直接在浏览器中用 …;/来进

0x00 前言这篇文章主要是结合 thinkphp 5.0.x 两个rce :(1)变量覆盖filter(2)没有开启强制路由导致rce来分析thinkphp 的路由0x01 路由检测首先要说的是$dispatch 调度信息，类似于：调度信息最后会传入App::exec() 中:而exec 会根据调度信息的type ,去调用相应的函数去映射到具体的函数上去执行。App.php 中run() 函数中，$dispatch 是通过 App.php 中的routeCheck() 函数返回