feifeicms 4.0 几处任意文件删除

1、位置Lib/Lib/Action/Admin/DataAction.class.php，两处

未经处理的GET和POST参数直接拼接到路径后，造成文件删除。但实际本地测试发现_bak文件夹默认是不存在的，需要进行备份功能后才能生成。
全局搜索_bak字段，找到一处_bak文件夹的创建，在Lib/Lib/Action/Admin/DataAction.class.php 51行的write_file函数。

进入write_file函数，可以看到内部调用了封装了的mkdir方法mkdirss

现在构造payload，需要先备份使创建_bak文件夹。这里需要满足strlen($sql) >= $filesize*1000。

备份成功

下面构造文件删除payload，访问http://localhost:8888/4.0.181010/index.php?s=/admin-data-del&id=../../../../../../../../../Users/xx/Desktop/123.txt ，删除123.txt文件

另一处原理相同，这里不再测试。
2、位置Lib/Lib/Action/Admin/TplAction.class.php，88

可以看到id参数没有做过滤，是可以进行任意文件删除的。测试时在桌面上创建123.txt，构造payload为http://localhost:8888/4.0.181010/index.php?s=/admin-tpl-del&id=/Users/xx/Desktop/123.txt

可以看到文件已删除。