Laravel debug

日常扫描发现一个Laravel站点

打开一看默认页面

看了下.env访问不了

直接burp抓个包，将get改为post，debug模式直接把阿里云accessKeyId和accessSecret爆出来了

接下来先导入行云管家看看有几台机器

只有一台机器可以直接重置密码上服务器，但是这种操作太敏感了

阿里云有提供api来执行命令的，我们使用这种方式来反弹一个shell试试

CreateCommand

https://api.aliyun.com/#/?product=Ecs 来到ECS的api处

输入Command，选择CreateCommand来创建一个命令

CommandContent填命令的base64，Type填RunShellScript

这里直接填反弹shell的命令，填好以后点调试SDK

会直接给你起一个Cloud shell

并创建一个CreateCommand.py文件，使用vi编辑

填accessKeyIdaccessSecret保存执行，并记录Commandid

InvokeCommand

选择InvokeCommand接口

Commandid填上面请求的返回值，InstanceId填行云管家显示的实例ID

填好了点调试sdk然后编辑文件把accessKeyId accessSecret填一下，执行

然后看监听的服务器shell已经反弹成功