影响版本

ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

本文使用2.2.3进行分析，下载链接：https://www.mycodes.net/45/7058.htm

代码分析

首先来到默认控制器，位于\application\Portal\Controller\IndexController.class.php，代码如下

跟进HomebaseController控制器，其中存在许多public属性的方法，我们可以在前台直接调用，该处漏洞利用了display方法

该方法中的五个参数都是可控的，第一个参数被传入到了parseTemplate方法中，跟进该方法

如果文件存在，会直接返回文件名，在这里我们控制该参数为想包含的文件即可

该处调用到了HomebaseController中的fetch方法，代码如下

该方法调用了父类中的fetch方法，跟进该方法

继续跟进

该处存在着代码执行的点，我们只要控制content的值即可

1	http://cmf.io/index.php?a=display&templateFile=config.yaml

1	http://cmf.io/index.php?a=fetch&content=<?php phpinfo();exit();?>

注意要使用exit函数中段代码执行，否则不会进行输出

2020-11-30 10:42:08