### 简要描述:
重装了 之后 可以轻松getshell。
### 详细说明:
在install/index.php中
```
header("Content-Type: text/html; charset={$lang}");
foreach(Array('_GET','_POST','_COOKIE') as $_request){
foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v);
}
function _runmagicquotes(&$svar){
if(!get_magic_quotes_gpc()){
if( is_array($svar) ){
foreach($svar as $_k => $_v) $svar[$_k] = _runmagicquotes($_v);
}else{
$svar = addslashes($svar);
}
}
return $svar;
}
if(file_exists($insLockfile)){
exit(" 程序已运行安装,如果你确定要重新安装,请先从FTP中删除 install/install_lock.txt!");
}
```
(file_exists($insLockfile)
这里判断了是否lock lock了就退出。
```
foreach(Array('_GET','_POST','_COOKIE') as $_request){
foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v);
```
对循环出来的 再生成了一个变量 所以可以直接覆盖掉$insLockfile 造成重装。
重装后 可以轻松的getshell。
但是这里存在一个变量覆盖。
[<img src="https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/202312237c636e5cf5f46c96afe36b8052aaeec1.jpg)
然后覆盖掉$insLockfile
[<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg)
可以看到可以重装了 然后直接对step 4 post就能重装了。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2023133796089ec74923ec0267d4bf3bebb07a01.jpg)
京公网安备 11010502034610号
暂无评论