前言

前几天在先知看到的漏洞,就很想写个分析过程了的,因为比赛培训和在审计一个CMS拖到了今天。

环境

Web: phpstudy
System: Windows 7 X64
Browser: Firefox Quantum
Python version : 2.7
Tools: PhpStorm 2017.3.3、Seay源代码审计系统

任意文件删除漏洞

复现

POC

前提:需要由对应的删除权限
flienamecsv代表要删除的文件