Phpyun设计缺陷致任意文件删除可致重装getshell或注入

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 设计缺陷可致任意文件删除 删除lock可直接进行重装直接达到getshell。 或者删除某文件也可以来注入了。 也可导致破坏sql语句。 P.S.又是1点多了,明天又无法认真上课了。 2014年7月23日 01:30:01 新的一天快乐。 ### 详细说明: 依旧官网下的最新版。 在model/ajax.class.php中 ``` function delupload_action(){ if(!$this->uid && !$this->username && $_COOKIE["usertype"]!=2){ echo 0;die; }else{ $dir=$_POST[str][0]; $isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'"); if($isuser['uid']==$this->uid) { echo @unlink(".".$dir); }else{ echo 0;die; } } } ``` 0x01 破坏语句执行 ``` $dir=$_POST[str][0]; $isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'"); ``` 这里可以看到$dir 如果这时候我们提交的是一个字符串的话 [0] 就成了截取字符的了。 截取的是第一个字符。 因为phpyun全局会对'转义变成\' (单引号会被实体化) 截取第一个字符的话 就是一个\了。 [<img src="https://images.seebug.org/upload/201407/2300445520cee601ac45ebbfe30c0e03fb972e35.jpg" alt="p1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/2300445520cee601ac45ebbfe30c0e03fb972e35.jpg) 成功引入了转义符。 如果有两个参数可控的话可以 '\',uesr()#' 类似这样的注入 可是这里只有一个参数...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息