记录一次杀猪盘上传webshell，tp5的远程执行代码漏洞的利用

今天朋友发了一条链接给我，打开看了一下。

点击立即开户试试

没有邀请码，也么有校验，就用burp跑包注册

抓个包，设置下payload
注册成功，邀请码为10390

登录试试

成功登录。看上去是个杀猪盘

我随便试试，弄个错误出来看看

是tp5.0.5的框架。现在去做个信息收集

ThinkPHP 5.x远程命令执行漏洞
一、漏洞描述

2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075
漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。
二、漏洞影响版本
Thinkphp 5.x-Thinkphp 5.1.31
Thinkphp 5.0.x<=5.0.23

刚好符合，先弄个poc试水
payload如下：

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

成功执行获得PHPinfo

现在我们再生成一个木马

没成功，可能是目录没有权限，换一个目录试试，runtime一定是有写权限的。

成功写入，上菜刀

测试链接成功

)
获取到文件目录，现在去找找数据库配置文件

得到数据库地址，现在连接数据库试试

得到数据库。现在看看uesr都有什么数据

SELECT * FROM '_userinfo'ORDER BY 1 DESC LIMIT 0,50;

得到数据。取证。应该是个测试的，没多少有价值的东西。
结束，清空日志，收工！