骑士CMS4.1.23本地包含漏洞

0x00

在骑士CMS最新版的 index.php页面对$type 调用了display方法 

这里的display使用的ThinkPHP的模板展示方法 参数后可直接调用安装目录下的任意文件以PHP形式运行

建议通过绕过上传.html或.txt文件 再进行远程包含即可

具体操作如下图

0x01 直接调用不进行审查

0x02 payload

0x03

在回包中能够看到上传的文件绝对路径和加密后名字

0x04上传部分代码