简要描述：

某页面下，未作容错处理导致爆路径，同时过滤不严导致恶意攻击者可以删除网站任意文件

详细说明：

corpandresize/config.inc.php中定义：

$tmp = 
简要描述：
某页面下，未作容错处理导致爆路径，同时过滤不严导致恶意攻击者可以删除网站任意文件
详细说明：
corpandresize/config.inc.php中定义：

___FCKpd___0

在corpandresize/process.php中用到TMP_PATH，满足前面的一系列条件后（这个很好满足，都是用户可控的）：

76: @unlink(TMP_PATH.'/'.$thumbfile);


没有检查$_COOKIE['tmp']就直接放入unlink()了，只要修改cookie就可以删除网站的任意文件。

google了一下，发现网上有人在今年5月份公开过同目录下另一个文件造成的爆路径问题（http://lcx.cc/?FoxNews=123.html），但分析得不够详细，利用方法也稍显麻烦，这里给出的利用方式更简单。

漏洞证明：
注册用户登陆后访问

http://localhost/phpcms/corpandresize/process.php?pic=../images/logo.gif

此时爆出绝对路径（当收集信息，没什么好利用的）

在cookie中添加一句（或修改原有值）tmp=../index.php%00即可删除首页文件

测试的时候发现官方demo站不成功。。。但是本地测试ok（官方最新安装包），在网上找大站测试，一打一个准~
修复方案：
你懂的，麻烦盛大的同学转给phpcms那边吧。
COOKIE['tmp'];

define("TMP_PATH", $tmp);

在corpandresize/process.php中用到TMP_PATH，满足前面的一系列条件后（这个很好满足，都是用户可控的）：

___FCKpd___1

没有检查$_COOKIE['tmp']就直接放入unlink()了，只要修改cookie就可以删除网站的任意文件。

google了一下，发现网上有人在今年5月份公开过同目录下另一个文件造成的爆路径问题（http://lcx.cc/?FoxNews=123.html），但分析得不够详细，利用方法也稍显麻烦，这里给出的利用方式更简单。

漏洞证明：

注册用户登陆后访问

___FCKpd___2

此时爆出绝对路径（当收集信息，没什么好利用的）

在cookie中添加一句（或修改原有值）tmp=../index.php%00即可删除首页文件

测试的时候发现官方demo站不成功。。。但是本地测试ok（官方最新安装包），在网上找大站测试，一打一个准~

修复方案：

你懂的，麻烦盛大的同学转给phpcms那边吧。