eYou邮件系统任意文件删除

### 简要描述： eYou邮件系统存在任意文件删除漏洞 ### 详细说明： tips:同时存在任意文件上传，任意文件删除漏洞 #1 漏洞代码 /user/send_queue/del_addition.php ``` $ToRemove = post('ToRemove');//接收post参数ToRemove $size = @filesize($ToRemove); if(is_array($_SESSION['tmpName'])) { $key = array_search($ToRemove,$_SESSION['tmpName']); }else { $key = null; } if(file_exists($ToRemove)) { $res = @unlink($ToRemove);//没有经过任何过滤便进入了危险函数unlink，造成任意文件删除 if($res == 1) { //文件被del了 if($size != false) { $_SESSION['size'] -= $size; if($_SESSION['size'] < 0 ) { $_SESSION['size'] = 0; } } unset($_SESSION['upload'][$key],$_SESSION['tmpName'][$key]); } } ``` 过程很简单： $ToRemove = post('ToRemove'); //接收post参数后没有经过任何的过滤 $res = @unlink($ToRemove); //没有经过任何过滤便进入了危险函数unlink，造成任意文件删除 #2 漏洞测试 鉴于任意文件删除危害挺大，可以让网站蹦掉，我们先上传一个文件 ，再将之删除 google intitle:亿邮通讯 选取第一个连接测试 http://mail.bjsasc.com/user/send_queue/upload_addition.php [<img src="https://images.seebug.org/upload/201403/3111192683927625e51c6b2514968aabd1174110.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/3111192683927625e51c6b2514968aabd1174110.jpg) step1 先上传一个test.txt文件，其他文件也行 step2 选择已上传的test.txt ，点击删除 即可删除该txt文件 #3 删除任意文件 ### 漏洞证明： 根据#2 step2 点击删除，抓包修改ToRemove参数即可删除任意文件 [<img src="https://images.seebug.org/upload/201403/311124539cb11eff958fdd47dccaf80b71d12d46.jpg" alt="aaa.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/311124539cb11eff958fdd47dccaf80b71d12d46.jpg)