ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。访问如下地址:http://xxx.xx.230.165:59502/public/index.php。使用vulfocus靶场复现漏洞,使用如下命令拉取镜像。
原创
2022-12-17 18:36:43 ·
2887 阅读 ·
0 评论