Fengcms SQL injection & 读取任意文件漏洞

漏洞作者: catchermana

Fengcms SQL injection & 读任意文件 & XSS。

Searchcontrol 中。

[php]
if(!empty($_POST)){

if(URL_TYPE==1){

echo '<meta http-equiv="refresh" content="0;url='.(($_POST['project'])?'?controller=search&project='.$_POST['project'].'&tags='.$_POST['tags']:'/tags/'.$_POST['tags'].'.html').'">';

 

}else{

 

echo '<meta http-equiv="refresh" content="0;url=?controller=search'.(($_POST['project'])?'&project='.$_POST['project'].'&tags='.$_POST['tags']:'&tags='.$_POST['tags']).'.html">';

 

}

 

}else{
[/php]

直接输出了 $_POST[‘tags’] 可以反射xss了。


在downcontrol 中 


[php]
$_GET['file']=base64_decode($_GET['file']);

 

if(file_exists(ROOT_PATH.$_GET['file'])){

 

header("Content-Type: application/force-download");

 

header("Content-Disposition: attachment; filename=".basename($_GET['file']));

 

readfile(ROOT_PATH.$_GET['file']);

 

}else{

 

echo '<script type="text/javascript">alert("您要下载的文件不存在!");history.back();</script>';

 

}

 

}

 

}
[/php]

漏洞证明:

311638331cc9b004c65fe3f9092eee38ab2b69e8

 

 

3116384595c41b06fd86074aa6c8a621612f233e

 

31163920cc3dcb53d5d21929044b6f37ac0a4dc6

发表评论