0x01近期財(cái)務(wù)審計(jì)了一波seacms ， 官方網(wǎng)站：https://www.seacms.net。版本號(hào)是最新版的（財(cái)務(wù)審計(jì)時(shí)） ， 和這些單通道架構(gòu)不一樣 ， 這一cms財(cái)務(wù)審計(jì)起來(lái)很圓滑 ， 可是過(guò)慮的就很干干癟 ， 印像中仿佛看到了三個(gè)過(guò)慮阻攔網(wǎng)頁(yè)頁(yè)面
360webscan(cmseasy也是有)一個(gè) ， 仿佛內(nèi)置也有2個(gè) ， 喪盡天良 。但還是盤(pán)出去一個(gè)能夠 繞開(kāi)的引入 。
0x02 最先了解了下參數(shù)傳遞方法 。關(guān)鍵文檔是/include/common.php ， 許多文檔都包括了這一文檔 ?？聪逻@一文檔 ， 114-117行：
foreach(Array('_GET','_POST','_COOKIE') as $_request){ foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);}
GET、POST和Cookie的主要參數(shù)會(huì)歷經(jīng)一次自變量遮蓋 ， 隨后把值$_v賦給相匹配的自變量$$_k ， 這兒會(huì)對(duì)$_v開(kāi)展解決 ， 單引號(hào)啥的都是被轉(zhuǎn)義 。這兒即然能夠 開(kāi)展自變量遮蓋 ， 換句話說(shuō)像一些靜態(tài)變量我還能夠 操縱！?。∮X(jué)得這兒難題挺大 。
接下去看20-26行：
foreach($_REQUEST as $_k=>$_v){ if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) ) { exit('Request var not allow!'); }}
這兒的編碼在上一步開(kāi)展自變量遮蓋以前開(kāi)展了一次過(guò)慮 ， 不可以遮蓋靜態(tài)變量$GLOBALS和一些配備自變量(以$cfg_開(kāi)始) ?？墒沁^(guò)慮的是$_REQUEST ， 換句話說(shuō)只有過(guò)慮$_POST和$_GET 。這兒把想遮蓋的自變量放進(jìn)在Cookie里邊就可以繞開(kāi) 。例如下面的圖 ， cfg_runmode ， cfg_paramset2個(gè)配備自變量的值都被取值為1 。

文章插圖
0x03 上一步明確了構(gòu)思 ， 接下去找一波包括common.php的文檔 。大約有這么多 ， 忽視掉后臺(tái)管理的 。


文章插圖
這種文檔在開(kāi)展自變量遮蓋后都是做一些整數(shù)金額化解決 ， 例如


文章插圖



文章插圖
相近這類(lèi)解決的地區(qū)非常多 。
0x04 第二處自變量遮蓋 。
在/detail/index.php文件中 。echoContent($vId)方式中 ， 第38行開(kāi)展了sql語(yǔ)句拼湊 ， $row=$dsql->GetOne("Select d.*,p.body as v_playdata,p.body1 as v_downdata,c.body as v_content From `sea_data` d left join `sea_playdata` p on p.v_id=d.v_id left join `sea_content` c on c.v_id=d.v_id where d.v_id='$vId'") ， 這兒把$vId拼湊了進(jìn)來(lái) ， 而且必須單引號(hào)合閉才能夠 引入 。
if($GLOBALS['cfg_runmode']==2||$GLOBALS['cfg_paramset']==0){ $paras=str_replace(getfileSuffix(),'',$_SERVER['QUERY_STRING']); $id=intval($paras); $id = (isset($id) && is_numeric($id) ? $id : 0);}else{ $id=$$GLOBALS['cfg_paramid'];}if($id==0){ showmsg('主要參數(shù)遺失 ， 請(qǐng)回到！', -1); exit;}echoContent($id);function echoContent($vId){ global $dsql,$cfg_iscache,$mainClassObj,$t1,$cfg_user; $row=$dsql->GetOne("Select d.*,p.body as v_playdata,p.body1 as v_downdata,c.body as v_content From `sea_data` d left join `sea_playdata` p on p.v_id=d.v_id left join `sea_content` c on c.v_id=d.v_id where d.v_id='$vId'"); if(!is_array($row)){ShowMsg("該內(nèi)容已被刪掉或是掩藏","../index.php",0,10000);exit();} $vType=$row['tid'];
在第23行 ， 啟用了echoContent($id)方式 。看看傳進(jìn)來(lái)的$id怎樣賦值 。
第16行能夠 見(jiàn)到 ， $id=$$GLOBALS['cfg_paramid'] ， 這兒開(kāi)展了第二次自變量遮蓋 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問(wèn)題，請(qǐng)您及時(shí)就醫(yī)或請(qǐng)專(zhuān)業(yè)人士給予相關(guān)指導(dǎo)!

「愛(ài)刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對(duì)您有所幫助：

• 絢麗多彩的翡翠顏色該如何挑選？專(zhuān)家教你最專(zhuān)業(yè)的方向
• 技巧分享！教你2016年梅雨季節(jié)如何防霉
• 才暖乍冷，教你怎么預(yù)防倒春寒
• 3步教你鑒別高品質(zhì)香水
• 美利奴皮毛一體怎么辨別真假 ?美利奴皮毛一體怎么搭配好看
• 街舞太空步走法 一步一步地教你
• 教你跟上恰恰舞曲的拍子節(jié)奏
• 教你高級(jí)街舞無(wú)限頭轉(zhuǎn)技巧
• 教你幾種恰恰舞的基本步伐
• 教你芭蕾普拉提瘦身操只在一瞬間