0x01 前言
首先本地搭建环境,我所使用的是Windows PHPstudy集成环境。使用起来非常方便。特别是审计的时候。可以任意切换PHP版本。
0x02 CMS简介
感觉都知道Dede,就不写了。只是为了一个格式好看(轻微强迫症患者)。
0x03 正文
漏洞所在文件:/member/album_add.php(在用户中心内)
漏洞文件代码:(只贴上相关代码)
include(DEDEMEMBER.'/inc/archives_check.php');
$ddisfirst=1;
//处理并保存所指定的图片从网上复制
if($formhtml==1)
{
$imagebody = stripslashes($imagebody);
$imgurls .= GetCurContentAlbum($imagebody,$copysource,$litpicname);
if($ddisfirst==1 && $litpic=='' && !empty($litpicname))
{
$litpic = $litpicname;
$hasone = true;
}
}
/*中间其它不相关的处理流程省略。*/
$inQuery = "INSERT INTO `#@__archives`(id,typeid,sortrank,flag,ismake,channel,arcrank,click,money,title,shorttitle,
color,writer,source,litpic,pubdate,senddate,mid,description,keywords,mtype)
VALUES ('$arcID','$typeid','$sortrank','$flag','$ismake','$channelid','$arcrank','0','$money','$title','$shorttitle',
'$color','$writer','$source','$litpic','$pubdate','$senddate','$mid','$description','$keywords','$mtypesid'); ";
点击收藏 | 0
关注 | 2