找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2179|回复: 0
打印 上一主题 下一主题

PHPCMS 2008 最新漏洞(第二季)附EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-19 19:17:38 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
说好的第二季来了....../ [- b# y+ l5 S4 K) e; W

* ]. \/ D: F6 ^; \6 C3 H   要转摘的兄弟们,你们还是带个版权吧!   
. J7 n4 \; v  p0 o0 o' @$ P8 H  Q, q/ F7 S! i
  组织 : http://www.safekeyer.com/   (欢迎访问)
8 M  {5 i  l! H, M! ^$ ]; `8 R' k  ?6 t1 J- d8 G  d' b) y1 T+ O; z+ m: N
author: 西毒    blog: http://hi.baidu.com/sethc5
' X4 D0 m5 B) a
, G7 q) E) W  n4 E3 l     + I% f6 i% w/ w7 |. y1 J2 l
1 _5 {) k! J& P0 e7 g+ \5 F8 q
其实还是有蛮多漏洞的,只是我一步步来吧!你们别催,该放的时候自然就会放了.1 k0 W5 R# D6 U$ \

$ Q/ m: f- _. T7 A  n' d过程不明显的我就省略了。- [! B. n3 K# C3 G  D

0 _8 {% ?2 l. @( ~# e8 D在preview.php 中第7行0 A9 v5 d7 O+ i# F3 C$ s8 f' Q7 ^( O

" M, W; [- l' T, ]" z$r = new_stripslashes($info);
7 A; S2 P3 u7 L7 r2 a6 ^( X9 }& ]0 Z
3 i* @: o7 J( O7 P( J0 x我们跟踪new_stripslashes这个函数
: W$ I7 P0 M6 W- x$ h5 ?1 W9 b  M  F" r6 O  z9 S  m# W
在global.func.php中可以找到
; H; b' h/ N/ \4 D' H9 d! {- t8 q( ^: }% e
15 \  @! i5 r0 ?' X4 i2 p0 [0 k
2: I2 m5 E  ~1 h
3$ n! Q/ K3 v0 n& ^
4
/ E% c" W" Q+ @6 ]4 k/ _5
8 K2 w4 o6 a( d9 q2 \/ u' }% d6 x- J6 function new_stripslashes($string)
5 c' ~0 K: F2 G3 j9 f0 H: A8 M{7 T6 N% g. Z2 X% M
    if(!is_array($string)) return stripslashes($string);' _# h9 p/ U6 T/ a5 H
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
2 N, t9 d/ ]: z; b    return $string;" u; M3 ~. x1 x9 E$ G- L/ M
}
2 ~' D, t' N# A& r- O1 B! I/ I7 I# w( C  J
这个函数的功能不用解释了吧4 Q# C% N, u; s/ Y: i
3 [: @6 K2 T! v# L8 v" E, N% I
所以我们看具体应用点再哪?
( v( {* m9 _8 l! Z7 [" {
2 c5 S1 [; S8 Q5 D7 A( ]1. _) g* u3 a: x% r6 y1 k
2
1 ]- v3 h5 j1 r# X( v- O( u1 E: h1 p3: `) B+ V1 j) v
4
/ V# {0 ~4 t+ t* {5' G- K, Q  |. Q/ U7 z' A
6
* V  f) U  w" g; _# V: c, l7+ z  I/ s6 u0 l' r
8
- \  ?/ h8 u) m- N/ @7 H6 [. A9
% W* A  e( J) B& P& j10
! i$ ~$ w" q4 M  J" z- P% g( ~5 @11
# O9 r; A9 I" Z5 I+ q12
/ _; V* J% Q7 W$ }& p( u13' B, W7 p+ N" m0 B$ v) T, m2 {
14. }0 @  L8 s0 l' q
15
+ I" A, x; D2 i, N" v6 w168 `$ ~9 ?/ R4 }: n1 A  E% B
172 _- f% q, D+ v) ?. {7 C7 K: s1 v
18
# f, Z" ~( b' b* F7 T; p19% q) n7 m; \  D" \* g
20
" O; @  f' c0 L1 O7 J3 V! z21
: [' W$ E' g, ^0 }% g4 d22
3 o: o3 J: d! y% E( U. V+ |23
4 Q1 F0 g- k( I$ n5 M% M24
/ D# m+ U; A' y. o9 O( T25% m: F/ O) J* N+ x- M3 B$ x# F
26
5 B* I" e0 j9 g' k( ?279 l3 e; p. b+ |4 y, J2 }- \% Z; [
28
8 G  O+ ~/ S- s$ s' I* K  _8 \29
7 J8 X! A7 Y7 w- [302 l5 a. ^. D% _3 N( {
31
% m2 S: j3 m3 P6 _, K/ o) e& v8 v* E32' @( n# i3 z' |: p' _( k
33
/ _; G1 Y/ ~2 x2 v  _348 O: @( H& A, |
35 require dirname(__FILE__).'/include/common.inc.php';
. z) K/ |/ U: D, x- O" U9 Q3 Sif(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.8 W- u% ~' m+ B* t
require_once CACHE_MODEL_PATH.'content_output.class.php';7 f2 a% n; l3 d/ S- S+ O: D. H3 ?
require_once 'output.class.php';
& Y! {( M+ F" p: `& ?* Uif(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
4 ^7 O6 N: i) n7 v5 q5 j% D! l1 @" _$r = new_stripslashes($info);   //反转义了.....关键. X5 K2 O  ]4 p$ Y; U# {, K
$C = cache_read('category_'.$r['catid'].'.php');7 c! L: Z5 [2 B$ w$ S* y
$out = new content_output();
3 R9 D6 ]$ G. L. P& N. N$r['userid'] = $_userid;* r7 \, T9 @4 J5 L0 D. X
$r['inputtime'] = TIME;) `0 |- ~  ?, z& i9 `+ s; W
$data = $out->get($r);7 G. T! I/ g8 Y' I' @
extract($data);
9 t# p6 q2 ^. Z+ @$userid = $_username;
. W. K5 w0 F+ z5 c* i6 qfor($i=1;$i<10;$i++)$ q' r' e  X; w! `) G
{1 }* y% R7 N4 m( f5 Z. L
    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");' R8 Y7 e8 ?0 M3 j
}
1 i- _4 I, P  x" j: c* ?        4 d1 k6 r( J. G# _1 v
$array_images = $str_attachmentArray;
2 P% H  @4 j0 {; r! R! c( v% \$images_number = 10;
9 g9 ]: \' _# {) a. h$allow_priv = $allow_readpoint = 1;' k$ M8 M8 C  T8 ^8 |5 [
$updatetime = date('Y-m-d H:i:s',TIME);/ O6 A4 X2 \* P2 Y8 L
        8 ~' b" a0 n$ A0 ^+ S
$page = max(intval($page), 1);5 x% u+ |8 L8 w8 t4 B
$pages = $titles = '';
. ~9 Y/ G2 t9 C! ]/ x% Zif(strpos($content, '
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表