本文作者:霾
团队交流群:673441920
-----------------------------------------------------------
前言
POC镇楼!!!
POST
漏洞演示过程:
首先我们利用D盾监听下我们的项目以外的目录。
这里刚刚我们创建了这个文件现在我们要从CMS去删除他。
随便找了一个目录去点击,然后我们用burp去抓包。
我们去修改下fname这个参数再去删除
这里可以看到我们的文件和文件夹都给删除了。
漏洞审计:
路径:controladmin_filemanager.php
第158行,if(isset($this->post['currentdir']) && isset($this->post['fname'])),判断post中的currentdir是否有设置并且判断fname是否有设置。
第161行,if(!file_exists($fname)),判断文件或者目录是否存在。
第164行,if($this->post['isdir']== '0'),判断isdir的值是否等于0。
第165行,@unlink($fname);,删除文件。
第167行,else if($this->post['isdir'] == '1'),或者判断isdir的值是否等于1。
第168行,$str=$_ENV['dir']->dir_delete($fname);,进入自定义方法。
路径:modeldir.class.php
第46行,if(!is_dir($dir)) return FALSE;,判断是否是目录。
第47行,$systemdirs = array('', HDWIKI_ROOT.'control', HDWIKI_ROOT.'langzh', HDWIKI_ROOT.'data', HDWIKI_ROOT.'model', HDWIKI_ROOT.'view', HDWIKI_ROOT.'install', HDWIKI_ROOT.'js', HDWIKI_ROOT.'lib', HDWIKI_ROOT.'plugins', HDWIKI_ROOT.'block', HDWIKI_ROOT.'api', HDWIKI_ROOT.'lang', HDWIKI_ROOT.'ss');,声明自定义的路口
第48行,if(substr($dir, 0, 1) == '.' || in_array($dir, $systemdirs)) exit("Cannot remove system dir $dir !");,substr代表字符串切割并且等于.,或者判断数组是否存在值。
第49行,$dir=$dir."";,声明一个变量。
第50行,$list = glob($dir.'*'),glob代表返回匹配指定模式的文件名或目录。
第51行,foreach($list as $v),foreach循环。
第52行,is_dir($v) ? $this->dir_delete($v) : @unlink($v);,3元运算符,is_dir判断是否是目录,如果是目录那么就递归,如果不是目录那么就删除文件。
第54行,@rmdir($dir);,删除文件夹。
漏洞修复:
利用str_replace去吧字符串过滤掉。
![[代码审计]云优cms V 1.1.2前台多处sql注入 任意文件删除修复绕过至getshell](https://700zi.400zi.cn/uploadfile/img/16/60/9279891f53de4962ea01597de5b4c6e3.jpg)
