### 简要描述: Srun3000计费系统任意文件删除漏洞[无需登录] ### 详细说明: /srun3/srun/services/modules/login/controller/login_controller.php 代码 ``` /** * 删除一个文件 * */ // 此处存在任意文件删除漏洞--fuck public function delete_file(){ global $file; echo $this->model->delete_file($file)?101:100; } ``` delete_file文件路径为 /srun3/srun/services/modules/modules.php ``` /** * 删除服务器上一个文件 * * @param unknown_type $file * @return unknown */ public function delete_file($file) { if (file_exists ( $file )) { return unlink ( $file ); } else { return false; } } ``` 简单粗暴的任意文件删除,$file用户可控 ### 漏洞证明: 漏洞测试,此处上传hello.txt在web目录,如图 [<img src="https://images.seebug.org/upload/201407/07013552e3803bec9ad9ad554740e82f2a4d9735.png" alt="111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/07013552e3803bec9ad9ad554740e82f2a4d9735.png) 然后执行删除 [<img src="https://images.seebug.org/upload/201407/070136241dd8b72f6c77df885348a9f646c6c996.png" alt="112.png" width="600"...
### 简要描述: Srun3000计费系统任意文件删除漏洞[无需登录] ### 详细说明: /srun3/srun/services/modules/login/controller/login_controller.php 代码 ``` /** * 删除一个文件 * */ // 此处存在任意文件删除漏洞--fuck public function delete_file(){ global $file; echo $this->model->delete_file($file)?101:100; } ``` delete_file文件路径为 /srun3/srun/services/modules/modules.php ``` /** * 删除服务器上一个文件 * * @param unknown_type $file * @return unknown */ public function delete_file($file) { if (file_exists ( $file )) { return unlink ( $file ); } else { return false; } } ``` 简单粗暴的任意文件删除,$file用户可控 ### 漏洞证明: 漏洞测试,此处上传hello.txt在web目录,如图 [<img src="https://images.seebug.org/upload/201407/07013552e3803bec9ad9ad554740e82f2a4d9735.png" alt="111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/07013552e3803bec9ad9ad554740e82f2a4d9735.png) 然后执行删除 [<img src="https://images.seebug.org/upload/201407/070136241dd8b72f6c77df885348a9f646c6c996.png" alt="112.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/070136241dd8b72f6c77df885348a9f646c6c996.png) 结果为 [<img src="https://images.seebug.org/upload/201407/07013657d15dbf4f7d983a8ac9085f6ae2815daf.png" alt="113.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/07013657d15dbf4f7d983a8ac9085f6ae2815daf.png) 无需登录,该服务默认是root权限运行的,所以:(