PHPCMS 2008 最新漏洞(第二季)附EXP

admin

说好的第二季来了......

   要转摘的兄弟们，你们还是带个版权吧！   

  组织 : http://www.safekeyer.com/   (欢迎访问）

author: 西毒    blog: http://hi.baidu.com/sethc5
3 o1 a1 ~8 L% \6 Z3 j3 o. y
     

其实还是有蛮多漏洞的，只是我一步步来吧！你们别催，该放的时候自然就会放了.

过程不明显的我就省略了。

在preview.php 中第7行
" o+ i) a1 v$ u7 {2 p% ]4 b' T+ p4 U
$r = new_stripslashes($info);
0 @2 f( d) j7 E2 q5 f: t
' t  q* c) h" \% X: v我们跟踪new_stripslashes这个函数

5 s' g1 v% i! X+ c3 b0 Y在global.func.php中可以找到

8 Y( P+ J! D3 N& e4 O% s7 g. ^$ y1
8 m2 B+ v9 {1 p2
8 k. R( G3 w/ e% N5 _+ h) Q1 A3
; v4 A& W) ?4 b9 y4
0 s+ ?8 V* N! {* T2 v! Z# i/ ?5
% Q2 |& M- E/ X+ S0 Y1 q* p( d6 function new_stripslashes($string)
( ^  t/ `* k: O+ d5 i5 \{
    if(!is_array($string)) return stripslashes($string);
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
( f& w/ F" R( t& ~0 ?    return $string;
! Q0 w5 W) F; w% g}

这个函数的功能不用解释了吧

所以我们看具体应用点再哪？

1
2
% Y/ O) @+ s0 I3
4
5
6
7
, ]  x5 q$ y( k4 S8 a8 G8
8 ?& J0 U' L' p# p( ^; R/ m8 b! G9
0 H& \! D3 W9 H10
11
1 w7 u! m" B  t/ J" A+ O% R12
& u8 e. B2 H5 Y" X+ Y13
8 k1 [9 b+ Q+ J2 j  T8 V14
15
16
5 N$ T( `* ]* e* _& K4 [8 Q) |17
5 M2 f. ~. W9 f1 U9 ?18
$ F; }9 X* p" c19
20
$ i7 T% Q) w, i2 O8 D% ^: k21
22
+ ~' G7 l; E, f' h23
24
3 [5 f( K5 K. l2 [9 b7 L4 f0 m25
26
& {! ?0 b/ S3 G; }' g. Q27
28
5 L  g+ i1 [5 ?29
3 O: c* P8 u7 }( t30
31
32
33
4 p, i, w. w' G3 `* r% l3 P$ F: t34
9 }- d' B, }4 ^0 A2 @8 [; z35 require dirname(__FILE__).'/include/common.inc.php';
( |& q; Y& r8 d' s# ]if(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
require_once CACHE_MODEL_PATH.'content_output.class.php';
require_once 'output.class.php';
! O6 |. f8 B. w: ]1 dif(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
/ W0 x9 D7 h) e& c* K( s$r = new_stripslashes($info);   //反转义了.....关键
$C = cache_read('category_'.$r['catid'].'.php');
$out = new content_output();
' T7 v7 U  f. f$r['userid'] = $_userid;
$r['inputtime'] = TIME;
$data = $out->get($r);
% B' a$ \, s8 [: a0 sextract($data);
$userid = $_username;
for($i=1;$i<10;$i++)
{
    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");
}
        
$array_images = $str_attachmentArray;
$images_number = 10;
7 S. t- s' B4 @# F2 U8 y* M0 v5 d$allow_priv = $allow_readpoint = 1;
% ?( G- S1 g, K! M$ g$updatetime = date('Y-m-d H:i:s',TIME);
        
$page = max(intval($page), 1);
3 F" Y3 s/ b5 a5 r! f" e$pages = $titles = '';
if(strpos($content, '