PHPCMS 2008 最新漏洞(第二季)附EXP

admin

说好的第二季来了......
, C5 h) b2 G: g! r/ }# E9 e
   要转摘的兄弟们，你们还是带个版权吧！   

( b, i" r- a( W/ s) x  组织 : http://www.safekeyer.com/   (欢迎访问）
3 h' o/ r4 \! j2 n
1 b/ K# J8 h) a% s- Aauthor: 西毒    blog: http://hi.baidu.com/sethc5
* F0 e0 G5 Y$ p, n
2 F$ W# e! l6 A9 j5 i6 t     

其实还是有蛮多漏洞的，只是我一步步来吧！你们别催，该放的时候自然就会放了.

过程不明显的我就省略了。
# V0 J# e" q  V, y$ c
在preview.php 中第7行

$r = new_stripslashes($info);

8 @: ~( s( M  o我们跟踪new_stripslashes这个函数
' v: X* C/ U+ _
在global.func.php中可以找到

1
2
3
4
5
# e) t2 N* s# K! |1 P6 w6 function new_stripslashes($string)
{
    if(!is_array($string)) return stripslashes($string);
    foreach($string as $key => $val) $string[$key] = new_stripslashes($val);
    return $string;
( D) v9 q. h  K- {% Y# d}

( i( g) p' I) x/ @这个函数的功能不用解释了吧

7 m- w2 H; z, o! G8 g所以我们看具体应用点再哪？
! n& _! _% \0 U3 z
0 U+ N3 H5 x6 I. k1
2
3
+ U, g, p2 K' a8 i* N4
, J" b" S. u8 ^$ `9 a! G3 t6 B# m5 @# O5
% I  e, g% p' W* F3 s6
7
+ R" ^4 _4 J8 Q( d7 y! S8
9
10
11
4 J  k  _- e+ l8 U! [12
13
14
7 S+ e: \9 u1 K: M- M5 w+ N15
16
17
, z+ v. U9 O9 O% H6 ~18
19
: J6 ^( a+ G, A+ c; P( @6 O3 z" @20
21
7 v, b2 o/ S+ B" }% {9 ]22
23
$ y- R' h0 d+ v3 ]; k4 |24
, f2 n3 U  K) s, g9 @; V25
26
% T9 d: |" Q, j$ Y27
' g) h& o; Z2 M) w5 p1 _28
/ U% _, M8 |5 }3 Y  ~29
1 E# D+ X- ~( n8 |% p- O* I30
31
32
+ q$ j7 [& ?% @4 B# d/ F3 C- R33
34
* _. g, X+ }% H35 require dirname(__FILE__).'/include/common.inc.php';
if(!$_userid) showmessage('禁止访问'); // 所以前提是我们注册个会员就ok了.
require_once CACHE_MODEL_PATH.'content_output.class.php';
require_once 'output.class.php';
- @" G1 Y8 O. \, L* G6 yif(!is_array($info)) showmessage('信息预览不能翻页');//这里将要带进来我们的危险参数了
" V, w2 D! ?" X* j* _$r = new_stripslashes($info);   //反转义了.....关键
$C = cache_read('category_'.$r['catid'].'.php');
1 w- o2 e9 q: H! I$out = new content_output();
$r['userid'] = $_userid;
$r['inputtime'] = TIME;
$data = $out->get($r);
/ @0 U; Q* E, |" R; X' xextract($data);
" h. d# y% G4 D$userid = $_username;
for($i=1;$i<10;$i++)
5 n8 f# V. b: Z8 l{
! s1 f, C  q6 c! V    $str_attachmentArray[$i] = array("filepath" => "images/preview.gif","description" => "这里是图片的描述","thumb"=>"images/thumb_60_60_preview.gif");
}
' I; s+ S% s  g1 @9 u        
" h. Y% T, f( Y* Y3 J, s$array_images = $str_attachmentArray;
$images_number = 10;
$allow_priv = $allow_readpoint = 1;
$updatetime = date('Y-m-d H:i:s',TIME);
, v$ a+ S+ C4 a3 J        
: F' D1 M9 c  ?5 ]( x: a3 b" \$page = max(intval($page), 1);
$pages = $titles = '';
if(strpos($content, '