phpcms 2008多个漏洞 (可getshell)

本文转自乌云:http://www.wooyun.org/bugs/wooyun-2010-09563
[php]

文件包含

1
2
3
4
<?php
define('IN_YP', TRUE);
define('ADMIN_ROOT', str_replace("", '/',dirname(__FILE__)).'/');
require '../include/common.inc.php';

要登陆

1
2
3
if(!$_userid) showmessage('您还没有登陆,即将跳转到登陆页面',
$MODULE['member']['url'].'login.php?forward='.urlencode(URL));
session_start();

$file变量可控制

1
2
3
4
5
6
if(!isset($file) || empty($file)) $file = 'panel';
/* $company_user_infos 获取企业会员信息 */
$company_user_infos = $db->get_one("SELECT * FROM `".DB_PRE."member_company` 
WHERE `userid`='$_userid'");
$userid = $_userid;