PHPCMS 2008 最新漏洞(第二季)附EXP

admin

说好的第二季来了......

   要转摘的兄弟们，你们还是带个版权吧！   
. n' O' c) H9 f- H( C
  组织 : http://www.safekeyer.com/   (欢迎访问）

. ]; ^  G; w7 n2 k9 h& m7 B2 mauthor: 西毒    blog: http://hi.baidu.com/sethc5
$ B2 R% }$ O; i- I0 q+ w
( c9 o) w1 |( w6 y8 ?% T     

( W: ?2 q8 x4 I9 M其实还是有蛮多漏洞的，只是我一步步来吧！你们别催，该放的时候自然就会放了.
% Z9 h$ ?8 U. u4 o  t, f
9 u5 N' {3 p  H3 G1 M: n  c# t) c过程不明显的我就省略了。

/ g5 ~& h5 K) A* ~# y在preview.php 中第7行

$r = new_stripslashes($info);
0 F% W5 Q5 x. o; A$ R' H
$ P# k- `" F  L" f2 \) P7 P我们跟踪new_stripslashes这个函数
, F0 T9 [' a! e# ~, C* s
在global.func.php中可以找到

1 {* H0 y# C% j2 }0 ~1
2
3
4
5
6 function new_stripslashes($string)
{
    if(!is_array($string)) return stripslashes($string);
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
! `0 x" a9 V! U6 w* I* a* ]) [    return $string;
  m8 p. p% T  A/ q}

0 y) L' l8 L( s6 ]/ d: n这个函数的功能不用解释了吧
2 N- a2 i# L, L* A5 Z
所以我们看具体应用点再哪？

1
, m! w3 S- h' o2 o' v2
% d0 s8 K/ N% M5 s/ w1 L3
) p) A% Z% `# ~/ L7 |2 k! t: p& s; \4
5
1 o3 T& _' L8 C( J6
* ?/ W3 C- m# L) O# m2 l7
# I, v9 X$ ?3 }4 J8
& O: R4 x$ |( [9
10
11
12
5 U( \: d+ d! `8 R8 w13
14
0 x, H( j+ J% a15
16
4 E% a) v0 M) }2 \# |17
18
3 Y2 ~( v) v! {5 I# B19
2 d+ r! J9 F$ j7 ^9 O- o+ j" n20
21
8 d/ I2 A* [* M22
23
24
1 ?/ ^$ G& j& G3 K$ V25
26
/ c' \2 _; r8 S/ g; b5 F7 P27
! [3 n; _2 ?! P, s" V28
% d1 v. R1 r* b5 n' P  f29
# e) o. ~2 [4 M5 f$ n; V- h! g  e30
, E: P9 ?: t0 q! ~" g, t" b0 o; `31
32
( ~% d  D) o. ~6 @' Q; t% Z* r9 Z33
: y1 d+ I* f8 S3 T34
35 require dirname(__FILE__).'/include/common.inc.php';
if(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
/ |- U. s% ~) xrequire_once CACHE_MODEL_PATH.'content_output.class.php';
0 |' f" y  R: c1 g1 A8 O1 qrequire_once 'output.class.php';
if(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
$r = new_stripslashes($info);   //反转义了.....关键
, j; g* X3 k. g2 Q% s8 N2 i$C = cache_read('category_'.$r['catid'].'.php');
( T8 R3 k4 `, o" K0 p5 d$out = new content_output();
$r['userid'] = $_userid;
4 c: }; F4 p" B: y3 j$r['inputtime'] = TIME;
$ d) Y, i' I+ p# D  P6 n$data = $out->get($r);
extract($data);
2 O/ j6 h" @) n6 T$userid = $_username;
for($i=1;$i<10;$i++)
' m# D" ]% v8 Y8 t{
$ j: M, U" N' j, I0 ^    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");
}
        
$array_images = $str_attachmentArray;
8 ?& n) g8 c1 |: Y* a. u0 {& g$images_number = 10;
+ M, I) x; A6 K6 c& w3 s$allow_priv = $allow_readpoint = 1;
$updatetime = date('Y-m-d H:i:s',TIME);
        
" h8 z9 [2 j! g7 s' w/ a0 E# q$page = max(intval($page), 1);
" h0 V/ ~4 D; _& g$pages = $titles = '';
if(strpos($content, '