%3c --php调用--%3e,ThinkCMF 框架上的任意内容包含漏洞

最新推荐文章于 2021-04-05 01:32:21 发布
最新推荐文章于 2021-04-05 01:32:21 发布
阅读量345 收藏
点赞数

%3c --php调用--%3e

0x01  背景

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。

ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。

每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。

官网:http://www.thinkcmf.com

0x02  印象版本

ThinkCMF X1.6.0

ThinkCMF X2.1.0

ThinkCMF X2.2.0

ThinkCMF X2.2.1

ThinkCMF X2.2.2

ThinkCMF X2.2.3

0x03 漏洞危害

远程攻击者在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码

0x04 漏洞复现

1) 这里我用的是ThinkCMF x2.2.3版本

下载thinkcmf

85956e14b26f1267eec29882b1529516.png

把他移到网站后直接放到phpstudy的目录下,访问路径/ThinkCMFX/

e5e1f5fb18aa3566332c6519919c1f8f.png

2)安装向导 看自己真实情况填写!!! 我这边 数据库连接密码是root

7d01451b9a2efa90080ecff90150b9de.png

5f91103bd3dc405e6a0f24c8e7a4466d.png

32e1dda4d6749772fd23eb2526822adc.png

3)测试POC  通过构造a参数的fetch方法,可以不需要知道文件路径就可以把php代码写入文件

phpinfo版payload如下:

执行payload,页面是空白的

1edb4a71aa99d5de7cfa89817102b492.png

访问test.php 文件

http://192.168.115.21/thinkcmf/test.php

93cc630ce3cf978c7ad053ed45827994.png4)  构造poc2  通过构造a参数的display方法,实现任意内容包含漏洞

payload:

?a=display&templateFile=README.md

fa93dd4e896de5bd28fb98428abe6745.png

通过文件包含可以访问到之前写的test.php文件

bca5f77f26b0f05e727f6f83d667cd4e.png

5)查看之前写入的test.php文件

d02d3bfae57756d0ba4a28853ee3010d.png

6) 写入一句话木马文件

29753454c10738eb251e09675d831b2f.png

7) 蚂蚁测试链接

685c0700a698ed32ca30a6376e305b11.png

4a462b4cf6434a27d71d36bd08586df7.png

fb0d5ff2371bf075d1be55ec13c724f7.png

0x05 漏洞修复建议

将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected

参考链接:

PLEASEJUM爬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实现在Sparton-3E板卡上的按键及开关的控制.7z
02-03
在电子设计领域,Sparton-3E板卡是一款广泛应用的嵌入式开发平台,它提供了丰富的硬件接口,包括按键和开关,以便于用户进行功能实现和系统控制。本资料包"实现在Sparton-3E板卡上的按键及开关的控制.7z"显然是针对...
%3c?php+eval,ThinkCMF缓存Getshell漏洞
weixin_39901412的博客
03-23 202
由于thinkcmf2.x使用了thinkphp3.x作为开发框架,默认情况下启用了报错日志并且开启了模板缓存,导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中,再次包含该日志文件即可在网站根目录下生成一句话木马m.php日志文件格式为YY_MM_DD.log,如当前日期为2019年12月12日,日志文件为19_12_...
php中的%3c %3e,PHP——表单
weixin_39679468的博客
03-09 1074
PHP——表单表单处理收集表单数据$_GET$_POST举个例子(以POST方式为例,GET和POST类似,直叙改方式为get,$_POST为$_GET)htmlbodyform action="welcome.php" method="post"Name:input type="text" name="name"brE-mail:input type="text" name="email"bri...
php中输出%3c%3e是什么意思,PHP-如何获取令牌?
weixin_39639653的博客
03-11 1385
有人告诉我我需要验证以下令牌,但不确定从哪里开始.我只能公开访问要从中获取数据的网站.有人给我解释令牌或举个例子让我动起来吗?我需要访问其他服务器吗?function send_CAD($number, $street, $website, $f_opts = true){$year = date('Y', time());$number = trim($number);$street = u...
%3c php %3e输出内容,如何在PHP中标识请求的页面
weixin_28940939的博客
03-09 273
我决定亲自测试一下。这个$_SERVER['SCRIPT_NAME']变量提供到所请求文件的路径,即使它是索引文件,也没有get参数或其他任何内容php文档声明它包含路径但它似乎是相对于文档根目录的,就像PHP_SELF,但不存在安全漏洞。请求时的输出example.com/?foo=bar:__FILE__: /var/www/index.phpPHP_SELF: ...
php怎么开启%3c%3e,PHP中的$_SERVER(PHP_SELF)
weixin_36432875的博客
03-29 337
复习PHP表单时,在教程中看到这个问题,然后了解一下。先来说说这个超级全局变量吧其实我觉得这个变量还蛮有意思的。$_SERVER[“PHP_SELF”]是超级全局变量,返回当前正在执行脚本的文件名,与 document root相关。所谓 document root 就是apache服务器网页(文档)根目录既然说到这个,那就补充一个知识点1234567891011documentroot 和dir...
Spartan-3E-Starter-Kit.rar_SPARTAN-3E
09-24
4. **教程和文档**:"Spartan-3E Starter Kit.pdf" 文件很可能是包含在压缩包内的用户手册或教程,指导用户如何开始使用开发板,包括硬件介绍、软件安装、基础设计流程、示例项目等。 **学习和应用** 学习Spartan-...
BlueCat.rar_BlueCat_SPARTAN-3E_Xilinx_linux spartan
09-22
“BlueCat Linux Board Support Package”通常是指一个软件包,它包含了运行在特定硬件平台(如BlueCat板)上的Linux操作系统的驱动程序、固件和其他必要的工具。这个支持包使得开发者能够在Spartan-3E FPGA上成功...
UART.rar_SPARTAN-3E_UART VHDL
09-21
在"UART.rar_SPARTAN-3E_UART VHDL"这个压缩包中,包含的"UART"文件很可能是一个VHDL源代码文件,实现了SPARTAN-3E FPGA上的UART逻辑。这个源码文件可能包括了以下关键部分: 1. **UART接口**:定义了UART与外部...
UART2.rar_spartan-3e uart vhdl
09-21
UART2.rar_spartan-3e_uart_vhdl这个压缩包文件包含了使用VHDL语言设计的UART(通用异步收发传输器)模块,适用于Xilinx SPARTAN-3E系列FPGA。UART是一种常见的串行通信接口,用于在计算机和其他设备之间进行数据...
php 路由地址%3c%%%3e,CodeIgniter(6)——地址解析类URI.php
weixin_36444661的博客
04-05 136
URI类的作用主要是处理地址字符串,将URI分成对应的片段保存到segments,路由类也主要是通过segments数组来获取上下文中的URI请求信息 。1. URI类是如何将地址字符串解析成对应片段?答:URI类首先将URL字符串解析成URI字符串,URI字符串的格式则是我们已经非常熟悉的CI路由地址(查询字符串,SCRIPT_NAME,以及SCRIPT_NAME目录名不会出现在uri字符串中)...
php符号%3c%3e啥意思,[PHP防火墙]输入内容存在危险字符,安全起见,已被本站拦截...
weixin_39818014的博客
03-09 1308
之前在很多的网站都看到了360webscan的攻击拦截脚本,正好分析并学习一下。最后一个 domain 参数改为自己的线上网站域名0x01 安装将下载的 360webscan.zip 解压后,得到360safe文件夹,并上传至网站根目录在全局加载的文件中(示例网站根目录下:index.php),加入如下代码:if(is_file($_SERVER['DOCUMENT_ROOT'].'/360saf...
php中%3ci%3e%3c/i%3e标签,php中urlencode与rawurlencode的区别
weixin_42517963的博客
03-10 2420
前段时间说自己遇到了个《URL加号引发错误》的BUG,引起这个bug的原因就是自己在URL中使用了 urlencode 函数,该函数会把空格转换成加号,这样就导致URL解析出错,而空格只有转换成 %20 才可以可以正常解析,这时我们就需要使用 rawurlencode 函数。下面就介绍一下 urlencode 函数与 rawurlencode 函数的区别:urlencode 函数:返回字符串,此字...
CTF中常见php-MD5()函数漏洞
热门推荐
等风来
10-11 2万+
CTF中常见php-MD5()函数漏洞 1.数字与字符串之间的比较 var_dump( 0 == "a" ); var_dump( "0" == "a" ); 第一个返回的是 true ,第二个返回的是 false 因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(’'123abd45gf)结果为123) 2.MD5函数漏洞 $...
thinkcmf 使用相关问题汇总
lxp199741的博客
03-18 377
1:问题描述:访问提示No input file specified. 原因:.htaccess文件rewrite配置错误 解决方案:修改为以下内容 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^(.*)$ index.php?/$1 [QSA,PT,L] </IfModule
ThinkCMF 框架上的任意内容包含漏洞
Sylon的博客
10-25 4517
0x01 背景 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。 ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又...
git教程【源码管理系统教程及版本管理功能教程】
08-13
git是一种源码管理系统(source code management,缩写为SCM)。它对当前文件提供版本管理功能,核心思想是对当前文件建立一个对象数据库(object database),将历史版本信息存放在这个数据库中。 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
财务收入支出系统
08-13
工资表,财务报表,对账表,付款申请,财务报告,费用支出表,财务收支 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
某智能工厂数字化化集成落地项目.pptx
最新发布
08-13
某智能工厂数字化化集成落地项目.pptx
Spartan™-3E开发板上的MicroBlaze SOC设计实验
在Spartan-3E Starter Kit开发板上,MicroBlaze可以构建出一个完整的处理器系统,包含了必要的存储器、接口和外设。 实验指导中,首先介绍了如何使用Xilinx Platform Studio (XPS)的BaseSystemBuilder (BSB)工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值