CNVD編號:CNVD-2020-10212
實驗環境:win7 專業版 夢想cms v1.4 phpstudy
漏洞位置:
template\admin\Template\temedit.html目錄下的模版編輯功能
發現該地方直接將路徑和文件名進行了拼接,其中代碼關鍵在於變量$dir的獲取
搜索editfile函數
發現$dir直接通過GET方式進行獲取,沒有進行過濾,且直接拼接進文件內容請求鏈接。
漏洞鏈接爲:
xxx.com/admin.php?m=Template&a=editfile&dir=default/error.html
隨便在目錄下創建1.txt(內容爲happy new year)驗證猜想。
將dir參數值改爲“…/1.txt”,發現成功獲取文件內容。
構造payload,嘗試獲取C盤根目錄的Windows/system.ini文件
xxx.com/admin.php?m=Template&a=editfile&dir=../../../../../Windows/system.ini
成功驗證!