feifeicms4.0几处任意文件删除-创新互联
1、位置Lib/Lib/Action/Admin/DataAction.class.php,两处
成都创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站设计、成都网站设计、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的临县网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
未经处理的GET和POST参数直接拼接到路径后,造成文件删除。但实际本地测试发现_bak文件夹默认是不存在的,需要进行备份功能后才能生成。
全局搜索_bak字段,找到一处_bak文件夹的创建,在Lib/Lib/Action/Admin/DataAction.class.php 51行的write_file函数。
进入write_file函数,可以看到内部调用了封装了的mkdir方法mkdirss
现在构造payload,需要先备份使创建_bak文件夹。这里需要满足strlen($sql) >= $filesize*1000。
备份成功
下面构造文件删除payload,访问http://localhost:8888/4.0.181010/index.php?s=/admin-data-del&id=../../../../../../../../../Users/xx/Desktop/123.txt ,删除123.txt文件
另一处原理相同,这里不再测试。
2、位置Lib/Lib/Action/Admin/TplAction.class.php,88
可以看到id参数没有做过滤,是可以进行任意文件删除的。测试时在桌面上创建123.txt,构造payload为http://localhost:8888/4.0.181010/index.php?s=/admin-tpl-del&id=/Users/xx/Desktop/123.txt
可以看到文件已删除。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
当前名称:feifeicms4.0几处任意文件删除-创新互联
标题路径:http://cdiso.cn/article/cshcoo.html