### 简要描述:
当时我就惊呆了...
### 详细说明:
在/include/mysql.class.php487行有这样一段代码
```
//保存MySql错误日志
$userIP = GetIP();
$getUrl = GetCurUrl();
$getTime = GetDateTime(time());
$logfile = dirname(__FILE__).'/../data/error/mysql_error_trace.php';
$savemsg = '<?php exit(); ?> Time: '.$getTime.'. || Page: '.$getUrl.' || IP: '.$userIP.' || Error: '.$msg."\r\n";
Writef($logfile, $savemsg, 'a+');//定金一看是个查询出错记录文件
//危险错误,强制停止
if($t == 1) exit();
```
呵呵呵,还把错误内容的msg变量也记录进去了。
### 漏洞证明:
随便执行带有一句话的sql语句,然后访问我们的根目录下面的data/error/mysql_error_trace.php
就是我们的shell了...
[<img src="https://images.seebug.org/upload/201402/23155603d5081c0c49dc5cc643ddb3bd1390fd77.jpg" alt="QQ图片20130223155412.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/23155603d5081c0c49dc5cc643ddb3bd1390fd77.jpg)
京公网安备 11010502034610号
暂无评论