前言

通过网站报错得到的信息

  • thinkphp 5.0.24
  • 网站绝对路径
  • windows

任意文件下载

在网站首页发现任意文件下载漏洞,title 可以传入一个路径,type 是文件后缀名,因为通过报错知道 type参数前面有个点,刚好可以分离文件名绕过WAF。

image-20240608194238462

Tp5 日志泄露管理员账号密码

因为不知道管理员的密码,所以需要通过 tp 的日志来获取账号密码。通过直接URL访问存在日志的路径,但是不能直接查看 .log 日志,所有需要通过任意文件下载漏洞来下载日志。

image-20240608194304501

任意文件上传

登录后台找到上传功能,发现直接上传 1.php 会失败,因为是 Windows 直接大小写就绕过了限制。

image-20240608194322463

因为没有直接返回路径,怎么找到路径呢?

  • 通过右键查看网站源代码查看图片或附件的地址
  • 通过任意文件下载的报错网页知道 /public/upload/ 相关目录,下载的文件名没有重命名,所以我们上传的 1.php 也没有被重命名。

成功拿下目标

image-20240608194333003