平安天使(sarticle)文章治理系统存在平安隐患作者：ccxer泉源：1/tech（冰火 *** 平安小组www.binghuo.cn）信箱：ccxer@.com克日学习PHP编程，想找一些代码参考，在同伙的建议下下载了平安天使的sarticle v1.8学习。平安天使对自己的程序异常有自信，然则人就难免会有大意的时间，由于水平有限看了一半也没有发现有什么太大的问题。但看到后台的时间发现了一个问题。通过这个bug可以获得系统仍至服务器的控制权。人人请看下面代码：if(_POST['action'] == "update"){//更新数据库foreach (_POST['config'] AS name=gt;value) { DB-gt;query("UPDATE ".db_prefix."setting SET value='".trim(addslashes(value))."' WHERE name='".addslashes(name)."'"); }//将设置信息写入设置文件config_filename = "settings.php"; fp = fopen(config_filename,w); contents = " query("SELECT * FROM ".db_prefix."setting"); while (setting = DB-gt;fetch_array(settings)) {contents .= "\n";setting['value']=addslashes(setting['value']);contents .= "\configuration[setting[name]] = \"".setting['value']."\";\n\n\n"; } contents .= "?gt;"; fwrite(fp,contents); fclose(fp);// redirect("更新通例信息乐成!", "./configurate.php");} //end update似乎没有什么问题，刚开始我也这么以为，但厥后我在测试平安性时发现有问题。下面这些代码把插入数据库的变量都过滤了，应该不会有什么问题了，但问题就出来这里。DB-gt;query("UPDATE ".db_prefix."setting SET value='".trim(addslashes(value))."' WHERE name='".addslashes(name)."'");下面让我们来试一试，进入后台基本设置，在文章系统的版权信息中填入版权信息如1，这些随便写，主要的是你写入下面代码：";echo PHP_OS;"也没什么作用，就是输出服务器的操作系统。这样一来settings.php中的configuration[copyright]变量值就变成了：configuration[copyright] = "1";echo PHP_OS;"";而这些原本是不应这样的，'和“应该被过滤掉，理论上应该是：configuration[copyright] = "1\";echo PHP_OS;\"";似乎 DB-gt;query("UPDATE ".db_prefix."setting SET value='".addslashes(trim(value))."'WHEREname='".addslashes(name)."'");中addslashes()没有起到作用，到底是为什么没起到作用我也搞不明白，究竟我也是刚学这个。先不管这些现在我们随便点开谁人页面，都市在页面的左上角发现：WINNT(我是在这下测试的:))再写入下面代码：";c="dir";system(c);"准确执行，到了这里我想不用我说太多了吧，也就是说你可以写入随便PHP代码，程序都市给你执行了。要不放个webshell进去？：）谁人我就不多说了，都是些很容易的事情。不外就算你知道了这个BUG也没有什么用，想要好好的行使上，你还得行使另外的一个BUG取得治理账号。然后你就可以为所欲为了。为了平安其见，另外的一个BUG我就先不宣布了。有兴趣的同伙可以到1找我，我们可以交流一下。修正设施：改： while (setting = DB-gt;fetch_array(settings)) {contents .= "\n";contents .= "\configuration[setting[name]] = \"".setting['value']."\";\n\n\n"; }为： while (setting = DB-gt;fetch_array(settings)) {contents .= "\n";setting['value']=addslashes(setting['value']);contents .= "\configuration[setting[name]] = \"".setting['value']."\";\n\n\n"; }PHP学习中，有喜欢PHP的同伙请和我联系交个同伙，人人配合学习。