一、昨天已经安装过这个环境了,访问

​http://192.168.189.129/phpcms/yp/web/index.php​

php代码审计【22】phpcms2008 前台代码执行_php

直接看代码  yp/web/include/common.inc.php

if(!$userid)
{
  $MS['title'] = '你要访问的站点不存在';
  $MS['description'] = '请核对网址是否正确.';
  $MS['urls'][0] = array(
    'name'=>'访问网站首页',
    'url'=>$PHPCMS['siteurl'],
    );
  $MS['urls'][1] = array(
    'name'=>'注册为本站会员',
    'url'=>$PHPCMS['siteurl'].'member/register.php',
    );
  msg($MS);
}

​http://192.168.189.129/phpcms/yp/web/index.php?userid=1​​ ,必须要userid

php代码审计【22】phpcms2008 前台代码执行_php_02

$menu = string2array($menu); 
echo $menu;

include/global.inc.php 

function string2array($data)
{
  if($data == '') return array();
  eval("\$array = $data;");
  return $array;
}
foreach($menu['system']['catname'] AS $_k=>$_v)
{
  if($menu['system']['use'][$_k])
  {
    $m_system[$_k]['catname'] = $_v;
    $m_system[$_k]['url'] = $m_s_url[$_k];
  }
  $system_name[$system_action[$_k]] = $_v;
}
foreach($menu['usermenu']['catname'] AS $_k=>$_v)
{
  if($menu['usermenu']['use'][$_k])
  {
    $m_user[$_k]['catname'] = $_v;
    $m_user[$_k]['url'] = $menu['usermenu']['linkurl'][$_k];
  }
}

php代码审计【22】phpcms2008 前台代码执行_php_03

$menu 可以控制,代码执行---》

php代码审计【22】phpcms2008 前台代码执行_php_04

 

今天的比较简单,在多看下。