渗透记实|ThinkPhp绕过限制GetShell

0x01 前言项目里遇到一个站，用的是ThinkPHP V5.0.*框架，且开启了debug模式，本以为一发payload的就能解决的事情，没想到拿下的过程还得小绕一下...0x02 踩坑尝试命令执行，system被限制了尝试包含日志文件，open_basedir限制了这里有个思路，可以去包含runtime下的日志文件，但是thinkphp的日志文件比较大，而且有时候会有很多奇怪的问题阻断代码执行，暂且作为备选方案尝试通过thinkphp本身Library中设置Session的方法把脚本写入tmp目录里的Session文件，然后进行包含_method=__construct&filter[]=think\Session::set&method=get&server[REQUEST_METHOD]= phpinfo();?>但是。。。0x03 GetShell俗话说，三个臭皮匠顶一个诸葛亮，求助师傅们后，给出了解决的办法Noel 师傅和HTF师傅的解决方法及分析：Request.php的filtervalue ………………………………