1.从开始出发—初步介绍MVC框架

MVC顾名思义是三个单词的首字母放在一起的简称，M-model（模型），V-view（试图），C-controller（控制器），其间的联系又是怎么样的呢，日常贴图

至于MVC框架的具体运作方式，会在后面的文章的介绍，在此不做过多赘述。

2.写配置文件

在mvc框架中，需重点审核的就是控制器下所对应的php文件。从安装开始，

index.php是入口文件，install是模块，index控制器，check.html对应的是方法，详细介绍见

《ThinkPHP5快速入门》

代码审计

在app/install/controller/index.php文件中，首先是config()方法，

在此处，变量$DB被赋值，已经是一个数组，可以看到，$db是可控的，继续跟进$DB，发现在后面的session()方法中，将$DB的值赋给db_config作用是设置session。见图

跟进db_config，发现其进入sql方法，并赋值给变量$dbconfig，并通过write_config()方法赋值给变量$conf，利用seay全局搜索write_config()，

发现此方法在app/install/common.php文件中，并且只是做简单的替换，没有任何过滤或者别的处理，直接写入database.php文件，于是便可以任意写配置文件。

在这里写。

但道路纵使曲折的，写进去了，但安装失败。参考Jokuuy师傅的文章发现，只有在write_config()之前的所有执行不报错的情况下，该方法才会执行。且如果想在数据表前缀处写一句话，则必须结合sql语句进行构造，否则安装数据库失败

就像这样。
此处又看了师傅们的文章，水平有限，真的定位不到这里了

之后就知道了，构造如下payload，

sy_user` set password=1 or '.@eval($_POST["q"]).'#

成功getshell，

该文章参考Jokuuy师傅。