DedeCms V51GBK_SP1_B88 的一个漏洞

来源：phpeval's BLOG
作者：phpeval

include/inc_request_vars.php

//注册请求字符串并加转义  
function FilterNotSafeString(&$str)  
{  
   global $cfg_notallowstr,$cfg_replacestr;  
   if(strlen($str)>10)  
   {  
      //禁止字串  
      if(!emptyempty($cfg_notallowstr) && eregi($cfg_notallowstr,$str)) {  //当$str包含一个空字符时。这句就过了  
         echo "Messege Error! <a href='javascript:history.go(-1)'>[Go Back]</a>";  
         exit();  
      }  
      //替换字串  
      if(!emptyempty($cfg_replacestr)) {  
          $str = eregi_replace($cfg_replacestr,'***',$str);   //但是如果$cfg_replacestr这个东西有了的时候。$str空字符后的东西就会被截断了。 （一个两难的地方。by: phpeval）  
      }  
   }  
}  
 
function RunMagicQuotes(&$str)  
{  
  global $needFilter,$cfg_notallowstr,$cfg_replacestr;  
  if(!get_magic_quotes_gpc())  
  {  
     if( is_array($str) ) {  
        foreach($str as $key => $val) $str[$key] = RunMagicQuotes($val);  
     }else{  
        if($needFilter) FilterNotSafeString($str);  
        $str = addslashes($str);  
     }  
  }  
  else 
  {  
     if($needFilter) {  
         $str = stripslashes($str);  //先解码  
         FilterNotSafeString($str);  
         addslashes($str);  //这里失误，没有赋值，上面又解码了，所以导致很严重的问题，当然也可以直接GetWebshell          
     }  
  }  
  return $str;  
}  
 
//传递变量  
foreach(Array('_GET','_POST','_COOKIE') as $_request)   
{  
   foreach($$_request as $_k => $_v){  
      if($_k{0} != '_') ${$_k} = RunMagicQuotes($_v);  
   }  
}

Posted on: 2008, December 28, 11:55 PM | Filed under: 脚本利用 |
Tags：cms

您可能会对以下文章感兴趣哦

ECShop <= v2.6.2 SQL injection 0day (1636)
魅力企业网站管理系统 2009 SP3 中英繁漏洞 (1457)
浅析LxBlog V6变量未初始化漏洞 (1001)
php168 v2008后台拿shell方法 (1472)
phpcms2008 GBK 双字节编码 0day ask/search_ajax.php (1204)
PHPWind 文件及数据结构相关文档 (1533)
远古视频点播系统的一个注入漏洞 (770)
ShopEx 4.7.2 0day (737)
discuz旗下产品 "视频播客 SupeV 1.0.1" 0day (772)
动易SiteWeaver6.6版最新漏洞利用工具 (904)

Sai52's blog实践中求进步

DedeCms V51GBK_SP1_B88 的一个漏洞

您可能会对以下文章感兴趣哦

Leave a comment

Author

Categories

Archive

Blogroll

Meta