VULHUB ™

### 简要描述： 重装了 之后 可以轻松getshell。 ### 详细说明： 在install/index.php中 ``` header("Content-Type: text/html; charset={$lang}"); foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v); } function _runmagicquotes(&$svar){ if(!get_magic_quotes_gpc()){ if( is_array($svar) ){ foreach($svar as $_k => $_v) $svar[$_k] = _runmagicquotes($_v); }else{ $svar = addslashes($svar); } } return $svar; } if(file_exists($insLockfile)){ exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！"); } ``` (file_exists($insLockfile) 这里判断了是否lock lock了就退出。 ``` foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v); ``` 对循环出来的 再生成了一个变量 所以可以直接覆盖掉$insLockfile 造成重装。 重装后 可以轻松的getshell。 但是这里存在一个变量覆盖。 [<img src="https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg" alt="1.jpg" width="600"...

### 简要描述： 重装了 之后 可以轻松getshell。 ### 详细说明： 在install/index.php中 ``` header("Content-Type: text/html; charset={$lang}"); foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v); } function _runmagicquotes(&$svar){ if(!get_magic_quotes_gpc()){ if( is_array($svar) ){ foreach($svar as $_k => $_v) $svar[$_k] = _runmagicquotes($_v); }else{ $svar = addslashes($svar); } } return $svar; } if(file_exists($insLockfile)){ exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！"); } ``` (file_exists($insLockfile) 这里判断了是否lock lock了就退出。 ``` foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v); ``` 对循环出来的 再生成了一个变量 所以可以直接覆盖掉$insLockfile 造成重装。 重装后 可以轻松的getshell。 但是这里存在一个变量覆盖。 [<img src="https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg) 然后覆盖掉$insLockfile [<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg) 可以看到可以重装了 然后直接对step 4 post就能重装了。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg)