admin/Penetration_Testing_POC
1
0
Fork 0
mirror of https://github.com/Mr-xn/Penetration_Testing_POC.git synced 2025-06-20 09:50:19 +00:00
Code Issues Packages Projects Releases Wiki Activity

add CVE-2019-16132 OKLite v1.2.25 存在任意文件删除漏洞

Browse Source
This commit is contained in:
mr-xn 2019-09-16 17:29:58 +08:00
parent cfacfce552
commit 6ba14ebe84
1 changed files with 50 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

50
CVE-2019-16132 OKLite v1.2.25 存在任意文件删除漏洞.md Normal file
View File

@ -0,0 +1,50 @@
## 前言
OKLite v1.2.25 存在任意文件删除漏洞
## 漏洞简介
Ethan发现OKLite v1.2.25 存在任意文件删除漏洞(需要登录后台)
## 漏洞危害
后台删除文件时抓包修改`title`参数可以直接删除网站任意文件
## 影响范围
### 产品
> OKLite
### 版本
> OKLite v1.2.25 版本
### 组件
> OKLite
## 漏洞复现
在主目录下创建一个index.txt用来测试
![](img/22.png)
登录后台,在设置->风格管理
![](img/23.png)
点击文件管理
![](img/24.png)
随便删除一个文件点击抓包修改title参数为../../test.txt
![](img/25.png)
发送请求主目录下的test.txt已被删除
![](img/26.png)
![](img/23.png)