很明显又是ThinkPHP的漏洞,上周还做过类似的。
先看看是哪一个版本的。
得到版号后,去找找payload。
(post)public/index.php?s=captcha
(data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al
这其中filter[]=接要执行的命令,server[REQUEST_METHOD]=这个后面接命令的参数。(我试了一下,似乎是数字就行)
因为禁用了system,所以我们改用echo。
如图,成功用蚁剑连接上。
发现我们权限不够咧。先找有suid权限的文件,然后不知道怎么的,没有回显。我还以为是弄错什么了。急忙看看大佬写的,原来是环境问题。接着把flag复制出来,再读取就拿到flag了。