仅供技术交流，切勿非法用途。

文章可能有点长 废话多了一丢丢 大佬看看笑话就好 中间某些文字部分 没配图是因为 你懂的。。。

前言

某天收到一个项目任务站点 当时打开一看 TP5.05 这个版本是存在RCE的 本来我以为1分钟就搞定了没想到...

目标

首先打开主页随便让他报个错

5.05?这不是随便秒吗?就差写报告了...
接下来使用常规TP5 RCE去打 先让他弹个phpinfo
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

ok，好吧我就知道没那么简单，尝试POST

直接拉黑了... 没关系换个ip接着来 , 后来尝试过各种办法换过十几个IP皆无法Bypass

后来尝试过 https://xz.aliyun.com/t/6106#toc-3 这个表哥的方法也不行 估计是宝塔付费版

到此时我已经陷入僵局，RCE行不通的话那么可以尝试 RUNTIME 日志泄露，果然宝塔给我们安排的死死的
只要一访问 /Runtime/Log/202111/01.log 直接拉黑不解释...

颤抖的手点了支烟 顺便问了问搞反炸的表哥有没有什么姿势 表哥丢了我张图

关键时刻还是表哥牛，我怀着激动的心打开了语雀尝试payload

OK! 现在尝试写马 采用copy函数 执行

这里为什么要用POST 不用GET 原因GET参数严格过滤call_user_func_array，但POST不过滤，因此可以打组合拳。
访问 http://xxx.com/test.php

WTF? 为什么会是404,难道是马不免杀被杀了？开始尝试写内容为test的test.php，访问也是404。

随后准备采用 file_put_contents 写入内容为test的ok.php，访问也提示404... 那么PHP不行 先尝试写入TXT，内容为test

function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=test.txt&vars[1][]=test

OK访问看看

那么目前情况是写入PHP脚本都为404 怀疑是宝塔直接拦截了 TXT可以 现在就可以考虑包含 可是站点无法创建PHP文件那么只有以下思路

•尝试向其他目录写入SHELL (×)一样写什么目录都是404，包括 Runtime/cache/•尝试使用rename函数把TXT重命名为PHP (×)这里重命名貌似可以重命名为PHP文件，但是不管内容为什么 访问直接拉黑•尝试直接覆盖原有文件，比如index.php (×)根本覆盖不了没用•尝试写入到宝塔目录，也就是phpmyadmin目录下

那么说干就干，首先写入一个Bypass opendir的马，通过包含找到phpmyadmin目录 成功写入。

其实这里发生了点小插曲，phpmyadmin目录也是写入PHP文件404，但是我通过写入TXT重命名为PHP就可以执行了，最后也成功拿到了WEBSHELL 完成了此次项目，接下来就是取正la...

作者：funnytoo

References

[1] https://www.secquan.org/Discuss/1072381

---

大家好，我是社区运营海海，想加入团长组织的反诈红队公益的师傅们，请加我~

扫二维码｜关注我们

secquan圈子社区

汇聚新锐，共同进步

社区投稿&加入我们：[email protected]