首頁 > CMS教程 > PHPCMS > PHPCMS漏洞之前台注入導致任意檔案讀取

PHPCMS漏洞之前台注入導致任意檔案讀取

爱喝马黛茶的安东尼
發布: 2019-11-21 10:06:42
轉載
4315 人瀏覽過

PHPCMS漏洞之前台注入導致任意檔案讀取

關於phpcms前台注入導致任意檔案讀取漏洞的修復問題

简介:
phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客
可利用该漏洞读取任意文件。
…
阿里云服务器提示漏洞问题。
登入後複製

解決方法:

1、根據簡介中的漏洞提示,找到對應檔案down.php的對應位置(第18、89行附近),新增或替換對應的程式碼。

補丁程式碼片段如下:

$a_k = safe_replace($a_k);
parse_str($a_k);
登入後複製

修改後的補丁程式碼片段截圖如下:

第一處修改,第18行附近:

PHPCMS漏洞之前台注入導致任意檔案讀取

第二處修改,第89行附近:

PHPCMS漏洞之前台注入導致任意檔案讀取

#注意:第一處和第二處的補丁程式碼內容一樣。

第三處修改,第120行附近:

補丁程式碼片段如下:

$fileurl = str_replace(array(&#39;<&#39;,&#39;>&#39;), &#39;&#39;,$fileurl); 
file_down($fileurl, $filename);
登入後複製

注意:經過實際測試,上述兩行程式碼之間盡量不要有其他程式碼,以免被阿里雲偵測結果為修復無效。

修改後的補丁程式碼片段截圖如下:

PHPCMS漏洞之前台注入導致任意檔案讀取

2、然後,將修改好的文件,上傳到伺服器對應文件位置,直接覆寫;

3、最後,登入阿里雲後台,點選驗證(截圖如下),即可完成漏洞修復。

PHPCMS漏洞之前台注入導致任意檔案讀取

以上就是關於「phpcms前台注入導致任何檔案讀取漏洞」漏洞修復的全部內容。

PHP中文網,大量的免費PHPCMS教學,歡迎線上學習!

以上是PHPCMS漏洞之前台注入導致任意檔案讀取的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:csdn.net
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板