WooYun-2014-73244：frcms 重装系统

漏洞作者： 路人甲

来源：http://www.wooyun.org/bugs/wooyun-2014-073244

简要描述

重装了 之后 可以轻松getshell。

详细说明

在install/index.php中

header("Content-Type: text/html; charset={$lang}");

foreach(Array('_GET','_POST','_COOKIE') as $_request){

    foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v);

}

function _runmagicquotes(&$svar){

    if(!get_magic_quotes_gpc()){

        if( is_array($svar) ){

            foreach($svar as $_k => $_v) $svar[$_k] = _runmagicquotes($_v);

        }else{

            $svar = addslashes($svar);

        }

    }

    return $svar;

}

if(file_exists($insLockfile)){

    exit(" 程序已运行安装，如果你确定要重新安装，请先从FTP中删除 install/install_lock.txt！");

}

(file_exists($insLockfile)

这里判断了是否lock lock了就退出。

foreach(Array('_GET','_POST','_COOKIE') as $_request){

    foreach($$_request as $_k => $_v) ${$_k} = _runmagicquotes($_v);

对循环出来的 再生成了一个变量 所以可以直接覆盖掉$insLockfile 造成重装。

重装后 可以轻松的getshell。

但是这里存在一个变量覆盖。

然后覆盖掉$insLockfile

可以看到可以重装了 然后直接对step 4 post就能重装了。

漏洞证明

修复方案

修改变量覆盖的地方。