VULHUB ™

### 简要描述： 第5弹 ### 详细说明： 这回是post的命令执行而且需要注释掉后面的参数。 ``` if ( $_POST['act'] == "auth" ) { $command = "/srun3/radius/bin/radtest ".trim( $_POST['uname'] )." ".trim( $_POST['pass'] )." ".$array['server_ip']." 10 ".$array['secret']; //后面注释掉就好 if ( $fp = popen( $command, "r" ) ) //这里 { $con = fread( $fp, 10240 ); pclose( $fp ); } ``` ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/27110637b04b8377bf6b912f49db4c7b78b6f574.png" alt="radtest.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/27110637b04b8377bf6b912f49db4c7b78b6f574.png) [<img src="https://images.seebug.org/upload/201405/27110651247ccd72d8f9f6327a3c681e1cf46ece.png" alt="radtest1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/27110651247ccd72d8f9f6327a3c681e1cf46ece.png)

### 简要描述： 第5弹 ### 详细说明： 这回是post的命令执行而且需要注释掉后面的参数。 ``` if ( $_POST['act'] == "auth" ) { $command = "/srun3/radius/bin/radtest ".trim( $_POST['uname'] )." ".trim( $_POST['pass'] )." ".$array['server_ip']." 10 ".$array['secret']; //后面注释掉就好 if ( $fp = popen( $command, "r" ) ) //这里 { $con = fread( $fp, 10240 ); pclose( $fp ); } ``` ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/27110637b04b8377bf6b912f49db4c7b78b6f574.png" alt="radtest.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/27110637b04b8377bf6b912f49db4c7b78b6f574.png) [<img src="https://images.seebug.org/upload/201405/27110651247ccd72d8f9f6327a3c681e1cf46ece.png" alt="radtest1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/27110651247ccd72d8f9f6327a3c681e1cf46ece.png)