最近心情很有点问题 颈椎也不如以前了 效率是低了不少
不过还是
四月快乐呀

环境搭建

不说咯 都一样的

分析

tp5.1.37的链子是比5.0要简单不少的 而且利用也很方便

因为5.1.37有一个十分好用的request类的__call方法 可以直接调用

那废话不多说 直接正片

前半段是一模一样的 也就是windows类->__destruct->removeFiles->model->tostring->toarray

不对,也是改了一点点的 model类现在是复用了Conversion这个trait才获得了toarray方法

没有本质区别

简单说下这个getAttr方法 看起来很吓人 这么多判断 静下心跟一遍就发现 只要try不报错,就一路绿灯 这些分支一个都进不去。

之后的_call方法就与之前不一样了 因为tp5.1.x中的request类的\_call有一个可控的call_user_func_array

image-20200401221302754

由于有一个array_unshift 给数组开头压了个对象上去 想用这个直接执行命令属于想屁吃

所以要找个不受参数影响的方法 看看能不能利用

image-20200401223217172

isajax->param 而且参数是可控的

而param可以跳到input执行命令

image-20200401223305419

input类中调用了这个方法

image-20200401223329062

其中filter也是可控的 这个函数所有参数可控 跟进一下

image-20200401223329062
rce 一把梭

exp就不放啦

分类: 技术

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注