先做事后收款黑客团队业务（黑客先办事后付款的账号

因为例子很少，开始想了下不是他们的漏洞，后面想了下，后面没有检查好用户的正常配置内容导致，还是提下吧。 

下载地址： 

貌似是最新版本的。 

测试语言：PHP 
测试漏洞文件：/kindeditor/php/file_manager_json.php 
默认配置(第16行)： 


$root_path = $php_path . '../attached/'; 

当/attached/文件夹不存在(被删)或者被改名为一个不存在的目录时，如网上的一个例子： 

$root_path = $php_path . '../../../upload/'; 

这个CMS下面的目录根本就没得这个目录，所以就造成了漏洞。 

怎么造成了漏洞的呢？我们分析下。

2.   

3.   

4. require_once 'JSON.php';   

5.   

6. $php_path = dirname(__FILE__) . '/';   

7. $php_url = dirname($_SERVER['PHP_SELF']) . '/';   

8.   

9. //根目录路径，可以指定绝对路径，比如 /var/www/attached/   

10. $root_path = $php_path . '../../../upload/';   

11. //根目录URL，可以指定绝对路径，比如 http://www.yoursite.com/attached/   

12. $root_url = $php_url . '../../../upload/';   

13. //图片扩展名   

14. $ext_arr = array('gif', 'jpg', 'jpeg', 'png', 'bmp');   

15.   

16. //目录名   

17. $dir_name = emptyempty($_GET['dir']) ? '' : trim($_GET['dir']);   

18. if (!in_array($dir_name, array('', 'image', 'flash', 'media', 'file'))) {   

19. echo "Invalid Directory name.";   

20. exit;   

21. }   

22. if ($dir_name !== '') {   

23. $root_path .= $dir_name . "/";   

24. $root_url .= $dir_name . "/";   

25. if (!file_exists($root_path)) {   

26. mkdir($root_path);   

27. }   

28. }   

29.   

30. //根据path参数，设置各路径和URL   

31. if (emptyempty($_GET['path'])) {   

32. $current_path = realpath($root_path) . '/';   

33. $current_url = $root_url;   

34. $current_dir_path = '';   

35. $moveup_dir_path = '';   

36. } else {   

37. $current_path = realpath($root_path) . '/' . $_GET['path'];   

38. $current_url = $root_url . $_GET['path'];   

39. $current_dir_path = $_GET['path'];   

40. $moveup_dir_path = preg_replace('/(.*?)[^\/]+\/$/', '$1', $current_dir_path);   

41. }   

42. //echo realpath($root_path);   

(责任编辑：网络)