### 简要描述:
一处代码逻辑有问题,导致任意文件删除漏洞. 2.5版本测试成功 3.0最新版本测试成功
算通用吧?
直接删除了 wafphp. 导致后面的注入
### 详细说明:
问题出在 /model/model/index.class.php
[<img src="https://images.seebug.org/upload/201312/26193154e199e8b40a825a094783604fa8f74a91.jpg" alt="QQ图片20131226192555.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/26193154e199e8b40a825a094783604fa8f74a91.jpg)
delfiledir 这个function就不详细看了 就传个路径过去 直接删除.
利用很简单.
看下$this->uid 的获取方式
/model/class/common.php 22行.
$this->uid=$_COOKIE['uid'];
直接在cookie里面取.
虽然自己写的有过滤器 但是利用的数据根本不在过滤的范围内.
### 漏洞证明:
利用方法:
1. 先注册个会员 登陆 默认显示基本信息 问题也出在基本信息 然后在cookie里面的uid 后面加上 /../../../data/db.safety.php
[<img src="https://images.seebug.org/upload/201312/26194228f3e24821b25b2ffb84521fc4079a806f.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/26194228f3e24821b25b2ffb84521fc4079a806f.jpg)
2. 随便填数据 然后点击保存 即可删除 db.safety.php.
京公网安备 11010502034610号
暂无评论