一、源码地址以及版本
http://down.chinaz.com/soft/39353.htm

二、审计工具
Seay源代码审计系统,phpstrom2020.1.3
三、审计步骤
1.利用Seay自动审计功能观察到到一处可能存在任意文件上传漏洞

2.跟进FIle.php代码进行分析,发现在一个move方法里,大致分析下代码，传入参数为一个移动路径,然后验证文件后缀,check()函数验证用户是否登录,验证是否存在同名文件，检查目录是否可写，然后返回FILE对象实例,包括它的路径以及上传对象本身。

public function move($path, $savename = true, $replace = true)
{
    // 文件上传失败，捕获错误代码
    if (!empty($this->info['error'])) {
        $this->error($this->info['error']);
        return false;
    }
    // 检测合法性
    if (!$this->isValid()) {
        $this->error = 'upload illegal files';
        return false;
    }

    // 验证上传
    if (!$this->check()) {
        return false;
    }

    $path = rtrim($path, DS) . DS;
    // 文件保存命名规则
    $saveName = $this->buildSaveName($savename);
    $filename = $path . $saveName;

    // 检测目录
    if (false === $this->checkPath(dirname($filename))) {
        return false;
    }

    // 不覆盖同名文件
    if (!$replace && is_file($filename)) {
        $this->error = ['has the same filename: {:filename}', ['filename' => $filename]];
        return false;
    }

    /* 移动文件 */
    if ($this->isTest) {
        rename($this->filename, $filename);
    } elseif (!move_uploaded_file($this->filename, $filename)) {
        $this->error = 'upload write error';
        return false;
    }

    // 返回 File 对象实例
    $file = new self($filename);
    $file->setSaveName($saveName)->setUploadInfo($this->info);

    return $file;
}

3.跟进move方法，找到了index.php下有很多方法里使用了该方法，于是逐一定位，发现在pluginlist()处为压缩文件上传以及解压，且方法大致为上传一个压缩文件，放入move方法中获取需要移动到哪个目录，然后进行解压缩到该目录，通过正则匹配压缩内容进行获取插件作者，内容之类的信息返回前端。其中对解压缩的目录访问权限并未设置，可以直接访问，对压缩文件内容也未判断，也就是说可以直接上传带有任意文件的压缩文件，进行上传解压缩，且可以访问。


4.在该插件功能处，发现下方还存在插件删除功能，且未对删除路径参数做任何过滤，可以实现任意文件删除。

四、漏洞复现

1.任意文件上传复现(需要管理员有插件上传功能模块)
1.上传一个test.zip的压缩包，其中test文件夹里有一个phpinfo.php的文件。

2.直接访问网站根目录+plugins/压缩文件夹名字(test)/压缩文件内容(phpinfo.php)

2.任意文件删除复现
1.点击删除抓包。

2.在网站根目录下创建一个testdel的测试文件。

3.修改plugin的文件路径为../testdel,点击放包,成功删除。

4.testdel文件已经删除。