【题目描述】

无

【附件】

无

【过程及思路】

打开在线场景。

是一个关于ThinkPHP的页面，看起来没什么特别的，几个链接点进去也都是正常的官方链接。

我们尝试到github搜索ThinkPHP V5，发现有相关的“远程代码执行”漏洞集合。

RCE（远程代码执行漏洞）

用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。——以上来自百度百科

通过查找资料我们知道，这个漏洞和SQL注入还有之前的“command_execution”的题是一个道理，都是开发者在服务端没有进行输入控制而导致用户端可以直接在输入框里执行相关命令，从而绕过表面的访问限制。

这里我们进入检索到的第一个Github项目，先尝试一下相关的漏洞，确定当前的ThinkPHP版本号。例如，我们将5.0.22版本的第三个漏洞代码复制到地址栏访问。

发现居然真的可以获取到系统的uid和groups等信息！

将地址栏中的“id”换成“ls”，得到当前目录下的文件。

没有flag的信息，用find命令找一下，发现在根目录下有flag文件，用cat查看。

Bingo！得到flag！

这题我们学到：如果网页开发者在服务端没有对执行函数的特殊入口进行过滤，就会给远程代码执行（RCE）提供攻击机会。因此开发网页时应当要将所有输入当作是可疑的，考虑到所有可能存在的威胁。

【答案】

flag{thinkphp5_rce}

如果文章对你有帮助，就动动手指点赞、喜欢、支持一下咖啡猫吧，谢谢！