找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2173|回复: 0
打印 上一主题 下一主题

PHPCMS 2008 最新漏洞(第二季)附EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-19 19:17:38 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
说好的第二季来了......; V5 X* A& p0 L& u; N5 l
9 \& G/ A8 x2 T" G" o+ c, X
   要转摘的兄弟们,你们还是带个版权吧!    , F- c8 z, k, u6 x( R! N
( O! z3 i+ \9 |$ u3 Y( r. o5 N
  组织 : http://www.safekeyer.com/   (欢迎访问)9 f  w- e( G5 W$ z" {$ x8 z
" D9 i# E+ S- m+ ?! i
author: 西毒    blog: http://hi.baidu.com/sethc5
% z! w+ y7 _, e/ y* i: ]  V# C. q0 Q0 B, I9 e+ `
     
4 j+ `. c* s* F6 _  _$ h0 `# W2 y( _
其实还是有蛮多漏洞的,只是我一步步来吧!你们别催,该放的时候自然就会放了.
( ?6 M: g4 R! d, p% N" W2 ]3 N! ?( l2 N8 @( |$ r
过程不明显的我就省略了。
, p0 V: e5 @+ l" Y+ A1 k
: }4 f/ E. m9 v/ {0 R在preview.php 中第7行
9 q3 X) `  d- o, [9 Z. h2 r0 ^# s2 e
$r = new_stripslashes($info);
6 H" n) U; P% [! K
5 k/ e( v5 p) S. n- @我们跟踪new_stripslashes这个函数
( r: f! ~! t0 U- |3 W
# z1 @1 s2 X# P% K/ }在global.func.php中可以找到
: d* I/ r0 g3 C' A2 J  R8 @; ^' {/ _7 g
19 r* ~, l) F& y2 R) A# j6 J
2
+ _7 u# W) V4 W6 K: u" t5 T9 i& r31 W4 U+ n% R) k4 `
4, _" ]' O2 S, x5 Z; J( _9 k
5" K& ]2 @8 `9 d: c1 `
6 function new_stripslashes($string)# q  \$ g& B: Q& j5 u  m. L, P2 H
{
0 w! O. a  c5 G$ A& R- N* J! G    if(!is_array($string)) return stripslashes($string);; z, a: A( }9 F- \* j( e
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
- r) I5 |! N- T/ C& z    return $string;+ c% a" t' n) h
} + V6 p5 A. E- L! Q' Y2 o' ~
; Y" n0 L* V! e% F' T3 y; Z
这个函数的功能不用解释了吧
4 H& u* @9 g" o  N+ X# x) i2 P5 \! |1 A# R
所以我们看具体应用点再哪?
  i8 {! O9 F# \  h: N2 @* i
& H% @: {; I' Q1
; S/ u$ b2 d/ ^2; [1 s' M# B  T! _3 b
3
" x6 B. N3 z4 o0 w- F, D2 r' ]9 r4
$ U& J" y$ Y7 j0 e6 }' ^5
  r7 r- k8 J# }; y  Z+ c61 @% ?9 _) O9 u1 b
7
8 r0 C: Y  x7 _& q" N+ n% ~) [0 z8
% s3 `7 w2 u7 l8 w9
+ B3 `$ V& z. T% ~, V& A100 Z0 d  i! ~: Y
11+ g/ y6 q& {) A4 u* O( y% E2 M" i
12
5 L6 P/ T' u1 J+ E" z137 @8 {5 q5 K5 V  z
147 {5 Q% z; w5 i
153 ]6 O, f5 X) M# L
16
$ k. k- q, K) }5 f4 h0 d17
, R6 `$ _& V- V0 L( f18+ y4 O8 M0 O) ?/ e
19$ z7 u; U9 l/ T
20
; }: x7 }2 j6 v) I. h" w21/ R1 ]4 ~! T' n3 N) o! h# S
22' \9 x. w( H# V' D- @6 I
235 a$ b" T# e" A; N" h! D2 v7 m
24
& o+ n- E, K  w4 ~" P4 n" ~" V4 j25
0 \) e, U4 ~) p2 n+ O3 b, x26
  S& f, n* e% h1 i27
% z; w- [  z- J- a28
* U/ j8 O0 B8 }* z; p. P+ _) s! k29( V: o# U3 t9 H. j6 ?- q) }
30" k; a, h7 F9 g8 T+ P- J5 ^
31
, P6 Q0 V. V) ?6 L' L0 z+ v32
! i. c& T! G/ A( M" ^% I) h5 n7 d! Q: g33
) l& d( v. A  S4 g" }" w34; T% R$ ?+ O; N4 }5 {" y
35 require dirname(__FILE__).'/include/common.inc.php';* g2 S2 O5 }+ S
if(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
, L# _* P( |( {* O* q! {' A2 ^require_once CACHE_MODEL_PATH.'content_output.class.php';5 N- J: \* o+ U
require_once 'output.class.php';
3 a- Y( k* m3 F: q/ C- {) f5 jif(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
9 N9 I5 R7 \/ n' E, r! `, ?0 a$r = new_stripslashes($info);   //反转义了.....关键0 T/ k2 A( E9 V$ r3 P3 v( y
$C = cache_read('category_'.$r['catid'].'.php');" H: F8 O$ \  X: E( d. [
$out = new content_output();
* t* Q! g. @6 x7 _0 w) x( U$r['userid'] = $_userid;9 S3 x5 e0 Q$ S5 U( l4 i7 y! S
$r['inputtime'] = TIME;; {4 g# M9 i4 T8 P, x
$data = $out->get($r);
" \7 C1 r* y) R. [; I6 v6 sextract($data);
- Q- F* n0 J9 T$userid = $_username;; h3 Z, s/ o7 Y& u  F
for($i=1;$i<10;$i++)
' h3 ]. x1 E; P; W4 Q{
" R9 W8 }5 G5 w7 s/ @    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");, I$ I! G# |! p
}5 l, H$ W3 p7 o7 F8 k
        2 B% C( H1 u" H, o) f" @
$array_images = $str_attachmentArray;- U0 c% L0 [0 ?+ d7 t% ~$ {
$images_number = 10;
) r* |; @1 |* h% S% y$allow_priv = $allow_readpoint = 1;( m& M$ [& N/ x1 g
$updatetime = date('Y-m-d H:i:s',TIME);
3 K9 Y( T" H3 C  K. n7 |9 Z        
; ^+ L7 e# ~3 E9 D$page = max(intval($page), 1);
! j8 k( t# C3 p4 p$pages = $titles = '';
9 \. ]# A) M& e% _2 I+ kif(strpos($content, '
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表