CNVD编号:CNVD-2020-10212
实验环境:win7 专业版 梦想cms v1.4 phpstudy
漏洞位置:
template\admin\Template\temedit.html目录下的模版编辑功能
发现该地方直接将路径和文件名进行了拼接,其中代码关键在于变量$dir的获取
搜索editfile函数
发现$dir直接通过GET方式进行获取,没有进行过滤,且直接拼接进文件内容请求链接。
漏洞链接为:
xxx.com/admin.php?m=Template&a=editfile&dir=default/error.html
随便在目录下创建1.txt(内容为happy new year)验证猜想。
将dir参数值改为“…/1.txt”,发现成功获取文件内容。
构造payload,尝试获取C盘根目录的Windows/system.ini文件
xxx.com/admin.php?m=Template&a=editfile&dir=../../../../../Windows/system.ini
成功验证!