phpcms 2008 sp4 爆途径及肆意文件删除漏洞及修复[网络技术]

公布日期:2010-09.05
公布作者:CnCxzSec(衰仔)
影响版本:phpcms 2008 sp4
官方地址:www.phpcms.cn
漏洞范例:爆途径及肆意文件删除
漏洞描写:某页面下,未作容错处理招致爆途径,同时过滤不严招致恶意攻击者可以删除网站肆意文件

具体阐明:corpandresize/config.inc.php中定义:

$tmp = $_COOKIE['tmp'];

define("TMP_PATH", $tmp);
在corpandresize/process.php顶用到TMP_PATH,满意前面的一系列条件后（这个很好满意,都是用户可控的）:

76: @unlink(TMP_PATH.'/'.$thumbfile);

没有查抄$_COOKIE['tmp']就直接放入unlink()了,只要改正cookie便可以删除网站的肆意文件.

谷歌了一下,发现网上有人在本年5月份公开过同目录下另一个文件造成的爆途径问题（http://lcx.cc/?FoxNews=123.html）,但解析得不够具体,操纵办法也稍显麻烦,这里给出的操纵方法更简单.

漏洞证明:注册用户登陆后拜候

http://localhost/phpcms/corpandresize/process.php?pic=../images/logo.gif
此时爆出绝对途径（当汇集信息,没什么好操纵的）

在cookie中增添一句（或改正原有值）tmp=../index.php%00便可删除首页文件

测试的时刻发现官方demo站不成功...但是本地测试ok（官方最新安装包）,在网上找大站测试,一打一个准~

修复筹划:

改正容错处理,加强过滤