某外国语学院的一次拿站之旅

某天团队的echo老哥挖edu的时候遇到个学院的核心资产有ThinkPHP2的命令执行，但是存在waf，不能执行命令求助于我

###### 本着迎男而上的做事作风就去看了下，Thinkphp2的命令执行参考

文章可以看这里：

https://mp.weixin.qq.com/s/XHdIaWYA7hTCzRnBDBeEog

然后问echo哥拿了个账号，上去就是干

在实验途中发现使用eval等参数会拦截，而且感觉phpinfo也禁用了很多函数，最后发现使用assert函数不会拦截

这时候我就想到了用php自带的加解密函数 **pack**和**unpack**还有套娃的形式看看能否绕过waf

<?php  $str="phpinfo();";  print(bin2hex($str)); //解密print(pack("H*",bin2hex($str)));?>

发现也不能进行绕过，那就用套娃和分块传输的方式进行绕过尝试下

<?php$y=str_replace('x','','pxhpxinxfo()');assert($y);               $X='asse';$xx='rt';$xxx=$x.$xx;$y=str_replace('x','','pxhpxinxfo()');$xxx($y);?>

###### 发现也不能绕过(后来发现语法也有错误)，后来求助下团队的blame哥，发现可以用thinkphp自己封装的dump函数和php的file_get_contents函数来进行文件的读取扩大危害，不然无法操作危害是不高的！

###### 1.先用scandir来扫描目录下的文件夹和文件

   ###### 2.后来想着读取m配置文件用ssrf打mysql的后来发现无法mysql伪造挑战应答故放弃

###### 读取其他文件

后来扫描目录时发现整站备份和他们学校的统一认证平台源码备份

就是cas.rar和itcservice.zip文件，下载下来审计，下载了itcservice.zip文件之后还想下载cas.rar进行审计发现管理员关站了，就先暂时作罢，该站点是核心资产

#thinkphp2命令执行->waf拦截->峰回路转读取文件造成危害->发现源码下载下来审计->管理员发现暂时关站

原文始发于微信公众号（Blame安全团队）：某外国语学院的一次拿站之旅