搜索
CopyRight 2012-2014 DS文库版权所有
phpcms2008网站漏洞修复远程代码写入缓存漏洞利用
(0 次评价)48 人阅读0 次下载

 SINE 安全公司在对 phpcms2008 网站代码进行安全检测与审计的时候发现该 phpcms 存在远程代码 写入缓存文件的一个 SQL 注入漏洞,该 phpcms 漏洞危害较大,可以导致网站被黑,以及服务器遭 受黑客的攻击,关于这次发现的 phpcms 漏洞细节以及如何利用提权我们来详细剖析。 phpcms2008 是国内深受站长建站使用的一个内容 CMS 管理系统, phpcms 的开源话,免费,动态, 静态生成, API 接口,模板免费下载,自定义内容设计,可提供程序的二次开发与设计,大大方便了 整个互联网站长的建站使用与优化。整个 phpc ms 采用 PHP+Mysql 数据库作为架构,稳定,并发高, 承载量大。 phpcms2008 漏洞详情 漏洞详情 在对代码的安全检测与审计当中,发现 type.php 文件代码存在漏洞,代码如下 : <?php require dirname(__FILE__).'/include/common.inc.php'; ... if(empty($template)) $template = 'type'; ... include template('phpcms', $template); ... ?> 以上代码 if(empt y($template)) 在进行变量定义的时候可以跟进来看下,通过 extract 进行变量的声明 与注册,如果当前的注册已经有了,就不会覆盖当前已有的声明,导致可以变量伪造与注入。

打分:

0 星

用户评论:

文库网-行业文库行业文档的在线分享平台

网站简介:行业文库网隶属于易淘资源旗下全站专业运营网站,打造国内最大最全面最专业的行业数据平台。 网站声明:本站所有资源由网友用户提供或从互联网收集所得,版权归原作者所有。如果侵犯了您的权益,请与我们联系,我们将会及时处理。

扫一扫关注网站微信公众号领取20积分

联系我们

  • 工作时间:8:30-23:00
  • 客服QQ:1191420061
  • 投诉邮箱:1191420061@qq.com

QQ|手机版|小黑屋|免责声明|行业文库网 ( 滇ICP备16004803号-2 )

Powered by Discuz! X3.3 © 2001-2013 Comsenz Inc.

返回顶部