feifeicms 4.0 几处任意文件删除

1、位置Lib/Lib/Action/Admin/DataAction.class.php,两处


未经处理的GET和POST参数直接拼接到路径后,造成文件删除。但实际本地测试发现_bak文件夹默认是不存在的,需要进行备份功能后才能生成。
全局搜索_bak字段,找到一处_bak文件夹的创建,在Lib/Lib/Action/Admin/DataAction.class.php 51行的write_file函数。

进入write_file函数,可以看到内部调用了封装了的mkdir方法mkdirss

现在构造payload,需要先备份使创建_bak文件夹。这里需要满足strlen($sql) >= $filesize*1000。

备份成功

下面构造文件删除payload,访问http://localhost:8888/4.0.181010/index.php?s=/admin-data-del&id=../../../../../../../../../Users/xx/Desktop/123.txt ,删除123.txt文件

另一处原理相同,这里不再测试。
2、位置Lib/Lib/Action/Admin/TplAction.class.php,88

可以看到id参数没有做过滤,是可以进行任意文件删除的。测试时在桌面上创建123.txt,构造payload为http://localhost:8888/4.0.181010/index.php?s=/admin-tpl-del&id=/Users/xx/Desktop/123.txt

可以看到文件已删除。

原文地址:http://blog.51cto.com/12653365/2328557

时间: 2024-10-03 21:48:57

feifeicms 4.0 几处任意文件删除的相关文章

[代码审计]phpshe开源商城后台两处任意文件删除至getshell

0x00 背景 这套系统审了很久了,前台审不出个所以然来.前台的限制做的很死. 入库的数据都是经过mysql_real_escape_string,htmlspecialchars的处理. 二次注入没找到,逻辑漏洞也没找到.抛开实际利用来说,简单讲讲两个任意文件删除漏洞,在拿到后台之后的getshell方法. 0x01 phpshe程序简介 phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,htmlspecialc

monstra 3.0.4 任意文件删除

monstra 3.0.4 任意文件删除 Vulnerable URL:http://127.0.0.1/monstra-3.0.4/admin/index.php?id=filesmanager&delete_file=1.txt&path=uploads/.......//./.......//./&token=7514f1bfccba396c26a9b80341db814ea505d80a touch 1.txt in /var/www/html/monstra-3.0.4/

Gxlcms时间盲注+后台任意文件删除读取下载+getshell

前台SQL时间盲注 在前台作品评分处 Lib\Home\Action/CommAction.class.php 第56行 $ting_id = $_GET["id"]; 第133行 $ting_gold = $mod->where("ting_id='$ting_id'")->getField("ting_gold"); 导致了可以时间盲注 因为回显不明确 后台GetShell 后台附件设置处 fuzz过程 输入php  被过滤成空

monxin cms 任意文件删除漏洞

\program\diypage\receive\edit.php首先看到一个unlink($path);本来应该先看sql语句的,但知道是任意文件删除先跳过删除语句,看看$path怎么传入的倒推上去 1.$path=$v;2.foreach($old_imgs as $v)3.$old_imgs=get_match_all($reg,$r['content']); get_match_all是一个自定义函数function get_match_all($reg,$str){    preg_m

任意文件删除的一个总结

这两天看了两三个任意文件删除的洞.说实话任意文件删除还算是比较好分析的一个漏洞. 漏洞的成因主要就是删除的目录路径是我们可控的,且并没有对这个路径进行任何的限制. php常见的删除命令比如rmdir和unlink这种,如果后面跟的是一个可控的变量就很容易导致这个漏洞. 像我看以前phpcms爆出的一个任意文件删除,这个洞简直随意到让人觉得不是phpcms public function pullic_delthumbs() { $filepath = urldecode($_GET['filep

Discuz!X 3.4 任意文件删除漏洞复现过程(附python脚本)

今天看下群里在讨论Discuz!X 3.4 任意文件删除漏洞,自己做了一些测试,记录一下过程.结尾附上自己编写的python脚本,自动化实现任意文件删除. 具体漏洞,请查看 https://paper.seebug.org/411/ 0x01 环境搭建 到官网下载Discuz 3.4版本,phpstudy 本机搭建,并注册账号.站点根目录新建111.txt,作为删除的目标文件. Discuz 3.4下载链接:http://www.discuz.net/thread-3825961-1-1.htm

Discuz!X 3.4 前台任意文件删除漏洞复现

Discuz!X 3.4 前台任意文件删除漏洞复现 参考链接: http://www.freebuf.com/vuls/149904.html http://www.freebuf.com/articles/system/149810.html http://mp.weixin.qq.com/s?srcid=0930uM1OtfeAsXwHRrfZBIyo&scene=23&mid=2650942631&sn=12a3c55807768f12fcd1b306fdf775d8&

【代码审计】CLTPHP_v5.5.3后台任意文件删除漏洞分析

  0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/cltphp 默认后台地址: http://127.0.0.1/admin/login/index.html 默认账号密码: 后台登录名:admin  密码:admin123 测试网站首页: 0x01 代码分析 1./app/admin/controller/Database.php  第221

seacms 任意文件删除

seacms 任意文件删除 http://172.16.173.242/seacms6.64/upload/admin/admin_template.php?action=del&filedir=../templets/../install/install_lock.txt 可以控制filedir参数进行任意文件删除 删除 install/install_lock.txt文件,然后可以重装seacms 分析代码: filedir参数必须以../template开头 原文地址:http://blo