YXCMS_1.4.7任意文件写入

# YXCMS 1.4.7任意文件写入

========================

一、漏洞简介
————

二、漏洞影响
————

YXcms 1.4.7

三、复现过程
————

### 漏洞分析

漏洞文件protected/apps/admin/controller/setController.php的140行,\$tpfile接收到GET传过来的值,如果为空的话就会报非法操作。传过来的URL是admin/set/tpadd&Mname=default,所以\$tpfile就是default。

再来下是检测是否有POST的值,接受到POST过来的filename,用trim去掉两边的空格。接收到POST过来的code,用stripcslashes反转义。

\$filepath=\$templepath.\$filename.\’.php\’这一句是路径和文件的拼接,然后下面检测路径是否存在。

最后没有过滤任何的危险函数就传给file\_put\_contents函数,写入网站的目录。

public function tpadd()
{
$tpfile=$_GET[‘Mname’];
if(empty($tpfile)) $this->error(‘非法操作~’);
$templepath=BASE_PATH . $this->tpath.$tpfile.’/’;
if($this->isPost()){
$filename=trim($_POST[‘filename’]);
$code=stripcslashes($_POST[‘code’]);
if(empty($filename)||empty($code)) $this->error(‘文件名和内容不能为空’);
$filepath=$templepath.$filename.’.php’;
if($this->ifillegal($filepath)) {$this->error(‘非法的文件路径~’);exit;}
try{
file_put_contents($filepath, $code);
} catch(Exception $e) {
$this->error(‘模板文件创建失败!’);
}
$this->success(‘模板文件创建成功!’,url(‘set/tplist’,array(‘Mname’=>$tpfile)));
}else{
$this->tpfile=$tpfile;
$this->display();

}
}

### 复现

http://0-sec.org/index.php%3Fr%3Dadmin/set/tpadd%26Mname%3Ddefault

![](/static/qingy/YXCMS_1.4.7任意文件写入/img/rId26.png)

打开我们的文件监控软件FolderChangesView,输入我们的程序路径D:\\phpStudy\\PHPTutorial\\WWW\\YXcms

![](/static/qingy/YXCMS_1.4.7任意文件写入/img/rId27.png)

然后写shell.php文件名,写入我们的代码。

![](/static/qingy/YXCMS_1.4.7任意文件写入/img/rId28.png)

然后会在\\protected\\apps\\default\\view\\default下面生成我们写入的文件。

![](/static/qingy/YXCMS_1.4.7任意文件写入/img/rId29.shtml)

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容