Niushop单商户V4版任意文件删除

# Niushop单商户V4版任意文件删除

## 漏洞描述

Niushop是一套开源的商城系统,存在任意文件删除漏洞

## 漏洞影响

> Niushop

## FOFA

> title=”Niushop”

## 漏洞分析

漏洞位于:

“`
\app\shop\controller\Upload.php
“`

![1](/static/qingy/Niushop单商户V4版任意文件删除/img/1.png)

“`
\app\shop\controller\common.php
“`

![2](/static/qingy/Niushop单商户V4版任意文件删除/img/2.png)

可以看到由于没有清除参数或过滤所以导致任意文件删除

## 漏洞复现

为了测试,在跟目录下创建a.txt
![3](/static/qingy/Niushop单商户V4版任意文件删除/img/3.png)

####POC:
![4](/static/qingy/Niushop单商户V4版任意文件删除/img/4.png)
返回true即删除成功。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容