frcms 重装系统

2014-08-21T00:00:00
ID SSV:94683
Type seebug
Reporter Root
Modified 2014-08-21T00:00:00

Description

简要描述:

重装了 之后 可以轻松getshell。

详细说明:

在install/index.php中

header("Content-Type: text/html; charset={$lang}"); foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v); } function _runmagicquotes(&$svar){ if(!get_magic_quotes_gpc()){ if( is_array($svar) ){ foreach($svar as $_k => $_v) $svar[$_k] = _runmagicquotes($_v); }else{ $svar = addslashes($svar); } } return $svar; } if(file_exists($insLockfile)){ exit(" 程序已运行安装,如果你确定要重新安装,请先从FTP中删除 install/install_lock.txt!"); }

(file_exists($insLockfile) 这里判断了是否lock lock了就退出。

foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v);

对循环出来的 再生成了一个变量 所以可以直接覆盖掉$insLockfile 造成重装。 重装后 可以轻松的getshell。 但是这里存在一个变量覆盖。

<img src="https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

然后覆盖掉$insLockfile

<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">

可以看到可以重装了 然后直接对step 4 post就能重装了。

漏洞证明:

<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">