找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2500|回复: 0
打印 上一主题 下一主题

PHPCMS 2008 最新漏洞(第二季)附EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-19 19:17:38 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式
说好的第二季来了......
. ~: T- n6 t9 S, p4 n4 L! A& i
' F/ N$ d% u* f- ]0 W' }   要转摘的兄弟们,你们还是带个版权吧!   
" _, Y# S$ h4 F* k) V
- b" v: j/ A' |+ E# X  组织 : http://www.safekeyer.com/   (欢迎访问)
3 l& w6 M) Y) N. u- ]; O" |+ G1 X, ]! K% V& q
author: 西毒    blog: http://hi.baidu.com/sethc5- n9 h4 Q" [" F$ _9 f- m
( Y" Z# @" f2 X* m
     
# ~7 C* I2 O: q& M9 i7 K% h' Y. h7 D- W3 n  C0 o0 F
其实还是有蛮多漏洞的,只是我一步步来吧!你们别催,该放的时候自然就会放了.
5 k- R# Z. k# e* ?  ^  J9 c3 \0 {6 O# f  D' r5 n- K: p
过程不明显的我就省略了。2 E0 y" b) C- E) r( x) W2 s& d
7 B3 b. [# U2 M9 I7 }! B% q6 w+ G
在preview.php 中第7行9 h$ N$ L+ W2 o, `

+ O- u# p6 E' c6 Q7 z$r = new_stripslashes($info);
1 k% s# f3 P8 U; i4 `. T) a3 u; W4 ^
我们跟踪new_stripslashes这个函数
/ G& B7 ?1 I: b- y  X0 Q/ K) E4 e4 P* m/ L
在global.func.php中可以找到
1 N* k5 G1 n" S( T% D, Y5 S. {, y' S( l$ R, w3 h- j* h2 _3 R
1  q$ p/ c7 y+ l2 X% L+ P
29 ?6 `. m) O- B
3* w& p1 s5 s9 x/ x7 ^
4
  V" U+ g2 E  G4 A9 e4 X& `5
% T; Z/ M2 u# o# h& @5 R7 \6 function new_stripslashes($string)
+ ]: |' d( c  X) V  j+ c{
$ a' n4 w' O0 s( T  N$ ~% k    if(!is_array($string)) return stripslashes($string);
+ _# g; L4 H2 O" C- S3 @    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);0 o& d4 B& J) c! |* m2 Z& H$ d2 h/ x, G0 ?
    return $string;% W' z- F/ v6 v3 ?4 S* U; h; n
}
- Z+ ]2 o) W2 j6 p$ X/ M: A; Y' p
7 q" q7 ]! S/ H这个函数的功能不用解释了吧
. v& z5 i8 ]4 f/ n3 M! }) }
9 _4 K/ u& q% j0 `所以我们看具体应用点再哪?: s% {% A- |& [. b, K! A( M

( T7 h' @9 T4 m18 o5 f+ H* _$ }0 Y
2
9 t, K2 X# F9 ]* G3
5 C& H9 y6 V2 m6 ]4$ P; c: m9 f$ C5 h( n
5. X3 E! W8 X7 H  w- j4 K( u. V, V
6
* F: F, Z- R  T3 s6 r7
, [+ Q; R2 A: s8; L, q1 c3 U" {
9
: C- Q! T: s6 k8 Z2 D( m10/ M2 P: N& O/ y' P1 d
11
. j1 c% c( J8 D+ E* P4 A6 T5 D0 y- X125 I: d) i" s, q' ?3 M* E
13( _$ W- J+ f1 k' C3 D
14
$ O9 ^) O  I" |( G156 b* K" e6 W. U
16! u* F" u3 z  ?  R% A0 d
17- n' m+ `# l0 b7 i4 Z  Z- T: @
18
2 m9 O" v1 V* Y( H$ M/ p. A19
5 N, [) k$ O0 b6 N, \20" W9 x8 z. h, j" \2 u& R' A1 y
21
! p% ?& X/ x: r% D0 o7 b6 w0 D22; T7 P) r) C( ?2 g: V
23
  P. h8 C( t# V6 k- ^% s) L24# [; G8 b' V0 x9 m- c2 b
25
' A, ~: j) S% F. ]+ O! ?& u4 A( f! F26
) L' M+ S5 ^+ d! V27! S! \2 g/ [/ E' }5 Z
28# l1 Q5 _7 y' l+ Q* f/ v
29
8 J/ o+ B, l. x7 Y6 Y% u* z& Q30/ g0 o* d, `4 P& \# K
31" S+ R. e& m+ k
32
4 H- Z/ B' g- P6 k& J+ Q33
# H' m4 P$ K+ e0 W2 |, L9 m" x& S' v5 j349 z4 i. b6 L: O2 d2 M
35 require dirname(__FILE__).'/include/common.inc.php';
; [2 F; B% M; l8 K4 e* l; vif(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.& T$ _6 A8 V( s
require_once CACHE_MODEL_PATH.'content_output.class.php';
! u2 I& z* o  m5 q4 Hrequire_once 'output.class.php';
/ b/ z! [1 [- ]9 @8 K0 pif(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
+ A( _9 Y- r) ]9 K$r = new_stripslashes($info);   //反转义了.....关键
0 M/ p( ?4 s$ S$C = cache_read('category_'.$r['catid'].'.php');
8 a! A6 G/ C& Y0 }+ a3 s9 X5 @$out = new content_output();5 p% Q& G) ]+ r9 _
$r['userid'] = $_userid;
5 M  B* @( ]  n- C$r['inputtime'] = TIME;% u- k. g& E2 B4 G3 ?! f3 V9 Q
$data = $out->get($r);
  M2 r2 M2 v8 p9 H& I1 Q* Yextract($data);
9 q- i, D% B5 J; Y/ Q  I$userid = $_username;, i' @. k/ M  F: t7 Y5 |
for($i=1;$i<10;$i++)
; h2 r1 Q% J/ W% V# U* ?2 P{! g$ \0 m) ]/ @8 H6 A
    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");, [; N2 n$ G/ V8 x) S# _
}
2 e* s. w2 o' a( T. b' ]        
  r6 A. j% S4 ?, c' q% w$array_images = $str_attachmentArray;
( W$ l: d7 h& _$ a+ P$images_number = 10;3 W3 o! ~( }  P
$allow_priv = $allow_readpoint = 1;
! g2 I2 }( a9 n% F$updatetime = date('Y-m-d H:i:s',TIME);
" P0 B1 `$ b# `8 K! v/ C8 e        / k0 v9 r4 I6 o9 T/ }: p4 ?
$page = max(intval($page), 1);
3 y, j; N( t2 U! D" K# a8 v7 j$pages = $titles = '';0 F0 i$ _  _; C# s9 A
if(strpos($content, '
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表