### 简要描述:
测试版本是官网的最新:5.8.25.02.08 UTF8
还是上次的http://www.wooyun.org/bugs/wooyun-2013-025665的那个问题没有修补完全、
当然前提是我们已经拿下后台.
### 详细说明:
编辑模版这里
文件\adminsoft\control\templatemain.php 第364行开始
```
$filecontent = stripslashes(htmlspecialchars_decode($content));
if (strpos($filecontent, "<?") && strpos($filecontent, "?>")) {
exit('false');
}
```
只通过了`<?,?>`这个php标记来判定是否为php代码,是的话返回false
实际上php还可以这样表示:
`<script language="php">code</script>`
so....让我们来get shell把、
[<img src="https://images.seebug.org/upload/201405/24130717c419d435ce4918042b40c1d2406b13d9.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/24130717c419d435ce4918042b40c1d2406b13d9.png)
[<img src="https://images.seebug.org/upload/201405/2413074097b4b79a1be0887e607886847b6a14e5.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2413074097b4b79a1be0887e607886847b6a14e5.png)
看首页 php代码执行了
[<img src="https://images.seebug.org/upload/201405/2413082982477e16accb21955b6ac24614a4bc30.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2413082982477e16accb21955b6ac24614a4bc30.png)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201405/24130717c419d435ce4918042b40c1d2406b13d9.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/24130717c419d435ce4918042b40c1d2406b13d9.png)
[<img src="https://images.seebug.org/upload/201405/2413074097b4b79a1be0887e607886847b6a14e5.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2413074097b4b79a1be0887e607886847b6a14e5.png)
看首页 php代码执行了
[<img src="https://images.seebug.org/upload/201405/2413082982477e16accb21955b6ac24614a4bc30.png" alt="QQ拼音截图未命名.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2413082982477e16accb21955b6ac24614a4bc30.png)
京公网安备 11010502034610号
暂无评论