1.分析

CMS下载地址:http://bbs.gxlcms.com/article/9

版本:GxlcmsQY v1.0.0713

\Lib\Lib\Action\Admin\DataAction.class.php

获取GET参数id,拼接到$filename中,然后使用unlink()直接删除$filename,由于没有过滤..等字符,所以可以删除任意文件。

 

 

2.poc

本地存在文件install.lock:

访问

http://127.0.0.1/gxlcms/index.php?s=Admin-***&id=***/a>

Install.lock被删除