前言

作者：Ho1aAs

博客：https://blog.csdn.net/xxy605

一、漏洞演示

进入飓风CMS后台，选择插件——文件管理

这个插件能够用于管理网站的文件，提供上传、新建文件的功能

在网站根目录新建空php文件，写入命令

URL访问，触发命令执行

二、漏洞分析

文件管理插件安装在x/plugin/managefile_xxxxxx，插件源码在x/plugin/managefile_xxxxxx/controller/index.php

/**     * 编辑文件内容     */    public function editFileContent()    {
           //获取当前文件路径        $dirPath = $this->dirPath;        if (isset($_REQUEST['dirname']) && ($_REQUEST['dirname'] != '')) {
               $dirname = $_REQUEST['dirname']; //目录名            $dirPath = $dirPath . $_REQUEST['dirname'];        }        $onlineEditor = new OnlineEditor($dirPath);        $filename = $_REQUEST['filename'];        $res = $onlineEditor->putContent($dirPath . $filename, $_REQUEST['filecontent']);        if ($res) {
               $code = 0;            $msg = "编辑成功";        } else {
               $code = 1;            $msg = "编辑失败-文件不可写";        }        //返回数据到页面        pluginHelp::export(['dirname' => $dirname], $code, $msg);    }   	 /**     * 创建文件     */    public function createFile()    {
           //获取当前文件路径        $dirPath = $this->dirPath;        if (isset($_REQUEST['dirname']) && ($_REQUEST['dirname'] != '')) {
               $dirname = $_REQUEST['dirname']; //目录名            $dirPath = $dirPath . $_REQUEST['dirname'];        }        //接收页面输入的文件名称        if (isset($_REQUEST['createfilename'])) {
               $createfilename = $_REQUEST['createfilename']; //当前文件名            $dirPath = $dirPath . $createfilename;        }        //创建文件        $onlineEditor = new OnlineEditor($dirPath);        $res = $onlineEditor->createFile($dirPath);        //返回数据到页面        pluginHelp::export(['dirname' => $dirname], $res['code'], $res['msg']);    }		 /**     * 上传文件     */    public function uploadFile()    {
           //获取当前文件路径        $dirPath = $this->dirPath;        //接收当前目录名称        if (isset($_REQUEST['dirname']) && ($_REQUEST['dirname'] != '')) {
               $dirname = $_REQUEST['dirname']; //目录名            $dirPath = $dirPath . $_REQUEST['dirname'];        }        //接收上传的文件        $upfile = $_FILES['upfile'];        //上传文件        $onlineEditor = new OnlineEditor($dirPath);        $res = $onlineEditor->uploadFile($upfile, $dirPath);        //返回数据到页面        pluginHelp::export([""], $res['code'], $res['msg']);    }

以上函数没有对文件内容进行过滤就执行保存，因此只要进入后台就能执行命令

三、利用

新建PHP文件调用PHP命令执行函数

四、修复

建议限制该插件的功能或是过滤新建文件的内容

五、总结

由于以下问题导致该漏洞的产生：

对文件管理插件的非法利用

保存php文件无内容审查和过滤

完

转载地址：https://blog.csdn.net/Xxy605/article/details/117627161 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！

上一篇：『Ruby』判断语句

下一篇：『Ruby』变量与伪变量

发表评论

关于作者

喝酒易醉，品茶养心，人生如梦，品茶悟道，何以解忧？唯有杜康！

-- 愿君每日到此一游！

文章目录

前言